funlove病毒解决方案

q96318

长期以来，funlove病毒在我国感染率居高不下，关于被Funlove病毒感染和寻求解决方案的电话和邮件不断，尤其是NT服务器感染该病毒后的清除一直存在问题。为了解决当前用户存在的问题，国家计算机病毒应急处理中心针对这一状况，向各应急单位征集关于该病毒的解决方案，要求各应急单位针对自己的产品提供在当前主流系统下清除funlove病毒的具体方法（包括手工方法、使用各自产品的清除方法），希望能为用户在解决该病毒的过程中予以参考和帮助。
对于感染Funlove病毒的用户，国家计算机病毒应急处理中心建议，在查杀病毒时注意以下几点：
1、  网络用户在清除该病毒时，首先要将网络断开，
2、  然后用软盘引导系统，用单机版杀毒软件对每一台工作站分别进行病毒的清除工作。
3、  对于单机用户直接从第二步开始。
4、  若服务器端染毒funlove病毒的，且使用NTFS格式，用DOS系统盘启动后，找不到硬盘，则需将染毒的硬盘拆下，放到另外一个干净的Windows NT/2000系统下作为从盘，然后用无毒的主盘引导机器后，使用主盘中安装的杀毒软件再对从盘进行病毒检测、清除工作。
     5、 确认各个系统全部清除病毒后，在服务器和个工作站安装防病毒软件，同时启动实时监控系统，恢复正常工作。
现有以下应急单位提供了关于funlove病毒的解决方案，用户可根据自身情况参照执行：
一、病毒介绍                             
     Win32/Funlove.4099(也称作Win32/FLC.4099或W32/FLCSS)是一个快速感染Windows 95/98和NT的病毒，而且还可以传播到网络的共享资源中，在NT操作系统中，会受到NT安全级别的控制。病毒中有~Fun Loving Criminal~字样。
    在11月上旬，几家反病毒公司在几个不同的地方收到了Win32/Funlove.4099的报告，该病毒没有故意的破坏性，但是由于NT系统安全性很差而可能造成的破坏还是应当引起注意的。
    同一个简单的添加一样，Win32/Funlove.4099将它的代码复制到宿主文件的最后一个扇区的结尾，然后，它修改PE文件头信息以显示新的扇区大小，使扇区的特征适应病毒的需要，同时病毒修改原文件入口点的程序代码以便执行病毒代码。
    当一个染毒程序被运行，病毒代码程序获得系统控制权，Win32/Funlove.4099 病毒在系统目录下创建FLCSS.EXE文件，并从染毒宿主文件的最后提取出病毒代码，将其写入该文件中，然后FLCSS.EXE被执行。
    如果是在NT的许可权限下运行，FLCSS.EXE会将自身像一个服务程序一样安装到NT机器上。它会以“FLC”显示在标准的NT服务列表中，并且被设置为在每次启动时自动运行此服务。在Windows 9X下，它像一个隐含程序一样运行，在任务列表中是不可见的。
    在病毒程序第一次运行时，该病毒会按照一定的时间间隔，周期性地检测每一个驱动器上的EXE，SCR（屏保程序）和OCX（ActiveX control）文件，找到相应的文件就感染它们。它还搜索在网络上可使用的共享资源，并感染任何有访问权限的同一类型的文件。因此，它可以在机器间完全开放权限的共享文件上非常快地传播。该病毒检测以下文件名且不感染它们：ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。
    尽管该病毒对数据没有直接的破坏性，但是在NT下，Win32/Funlove.4099 病毒还是对NTOSKRNL.EXE 文件做了一个小的修改（patch），使得文件的许可请求总是返回允许访问（access allowed），这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上，所有的用户都拥有了对每一个文件的完全控制访问权，即使是在系统中可能拥有最低权限的GUEST，也能读取或修改所有文件，包括通常只有管理员才能访问的文件。在NT启动时，NTLDR将检测NTOSKRNL.EXE 的完整性，所以病毒也修改NTLDR，因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包（service packs）中起作用，但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后，需要用备份文件对这些被修改的文件进行恢复，或者重新安装这些文件。
    如果FLCSS.EXE 运行在DOS下，病毒将显示~Fun Loving Criminal~字串，然后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能有另一个机会去执行。这种尝试经常失败，而计算机则被锁。  
二、病毒清除方法
（一）网络用户：
  首先要断开网络，将网络中所有共享目录取消共享，然后对每一台计算机分别进行扫描，清除干净后再将网络连接好，如果有一台计算机没有清除干净则会出现再次扫描又出现病毒报警的现象。
    1、杀毒前对服务器端的重要文件做备份；
    2、首先将病毒生成的FLCSS.exe文件删除；
    3、将KILL升级到最新的版本，让KILL对计算机进行扫描，进行清除；
    4、95/98客户端的计算机有不能清除的病毒可以用启动盘引导系统，在DOS下查杀，进入安装目录c:progra~1comput~1kill后键入killcmd  c:  /cur回车；然后重启计算机在windows下扫描确保病毒清除干净；
    5、NT Server服务器端如果有无法清除的病毒则可能是权限问题；
    6、从其它未被病毒感染的NT机器下拷贝NTLDR和NTOSKRNL.EXE两个文件以覆盖被病毒所修改的原文件。
（二）单机用户：
    1、首先将病毒生成的FLCSS.exe文件删除；
    2、将KILL升级到一个比较高的版本，让KILL对计算机进行扫描，进行清除；
    3、对于在Windows环境下不能清除的病毒，请用系统的启动盘重新引导计算机，在KILL的安装目录下(缺省目录为c:progra~1comput~1kill) 键入killcmd命令进行清除，（具体用法请参见用户说明手册常见问题解答第五条, 例如使用：）扫描完毕重新启动计算机即可。
三、预防   
    大部分计算机在进行清除病毒时已经被病毒感染，严重的能造成数据文件的丢失或系统的破坏。虽然funlove病毒对数据没有直接的破坏性,但也会占用系统资源，降低运行速度，所以在使用反病毒产品时还应以预防为主，在您的计算机上安装kill反病毒软件并开启实时监控器以保护您的机器，将实时监控器的选项设为“修复文件”，以便发现并治愈随时入侵的病毒。针对funlove这种病毒，在网络用户的计算机中还应将所有共享目录的权限设为只读属性。
解决方案：
WIN32.FunLove.4099病毒是驻留内存的Win32 病毒，它感染本地和网络中的PE-EXE文件。
病毒本身就是只具有.code部分PE格式的可执行文件。
当染毒的文件被运行时，该病毒将在Windowssystem目录下创建FLCSS.EXE文件，在其中只写入纯代码部分，并运行这个生成的文件。
一旦在创建FLCSS.EXE文件的时候发生错误，病毒将从染毒的主机文件中运行传染模块。该传染模块被作为独立的线程在后台运行，主机程序在执行时几乎没有可察觉的延时。
传染模块将扫描本地从 C: to Z:的所有驱动器，然后搜索网络资源，扫描网络中的子目录树并感染具有.OCX, .SCR or .EXE扩展名的PE文件。当感染一个文件时，该病毒将其代码写到文件的尾部并且添加启动程序（8字节长的代码）将控制权传递给病毒体。当被激活，病毒将首先恢复这8字节的代码然后运行它的主程序。
只有在当前染毒的工作站用户具有对网络资源写访问权利的时候病毒才能感染其中的PE文件，这样就在相当程度上限制了病毒的传播。
病毒在感染的时候检查文件名，它不感染以下列4个字母开始的文件：ALER、AMON、_AVP、 AVP3、AVPM、F-PR、NAVW、SCAN、SMSS、DDHE、DPLA、MPLA。
这个病毒类似Bolzano病毒那样修补NTLDR和WINNTSystem32
toskrnl.exe，被修补的文件不可以恢复只能通过备份来恢复。
该病毒不具有任何有效载体，它包含下列文本：
"Fun Loving Criminal"
该文字被放置在This program cannot be run in DOS mode.的位置。
当病毒“点滴器”从DOS启动时它将输出消息并重启系统。
该病毒重复感染文件，要用软盘引导机器后用KV3000.EXE或KVD3000.EXE多杀几遍。
其步骤如下：
1 使用干净DOS软盘启动机器
2 执行KV3000.EXE, 查杀硬盘
用KVD3000具体清除步骤如下：
　　1）使用KV3000磁盘中的B盘启动，启动成功后，可以识别光盘驱动器；如果您的硬盘分两个区（C、D），那么光驱的盘符就是E盘；
2）启动成功后，将用来启动的B盘拿出来，将KV3000的A盘(密钥盘)插入软驱中；
3）将当前盘符更换成光驱的盘符：这里是E盘；
如果你的手提电脑只能替换接软驱或光驱, 请用硬盘引导机器后将KV3000光盘放进光驱, 将KV3000光盘根目录下的KVD3000.EXE；KV3000A.LIB；KV3000B.LIB；KV3000C.LIB；KV3000U.LIB拷贝到：C:KVW3000子目录下， 然后换上软驱， 将KV3000的A盘(密钥盘)放进软驱，再执行C:KVW3000子目录内的KVD3000即可。
其中KV3000U.LIB是新病毒升级库文件，可从网站上下载最新的，下载后覆盖C:KVW3000子目录内的旧KV3000U.LIB即可。
4）执行命令：A>KVD3000 C: /K，该命令可以查杀C盘下的所有文件中的该病毒。  
    另外，个别病毒感染了文件后是用病毒代码覆盖了文件的一部分，所以在清除病毒以后文件还是不能用，应再用正常文件覆盖坏文件。
WINDOWS/NT/2000系统的NTFS硬盘分区患有此毒时，处理比较烦琐。因用DOS软盘引导后不认硬盘分区，所以无法杀毒。在患毒的WINDOWS/NT/2000系统下又杀不干净病毒。
  
    不管是服务器还是单机的硬盘染此毒了，要想杀干净病毒，可按如下方法杀毒：
1、 找一无毒的并装有WINDOWS/NT/2000系统的机器，将KVW3000按装到硬盘。
2、 将患毒的硬盘挂接在无毒的机器上做为副盘。
3、 用无毒的主盘引导机器后，调用KVW3000或KVD3000查杀副盘中的病毒。
杀毒方法如上所述。


这是一个win32病毒，它可以感染Windows 9x和Windows NT。它感染win32 (PE)类型的文件， 例如： .EXE、 .SCR、.OCX 在 Windows 和 Program Files 文件夹。这个病毒会在所有的网络共享文件夹中搜寻，感染其中的病毒。它也会完整的检查NT系统，感染系统文件。
   
    解决方案：

    Windows 95/98系统：
用紧急恢复盘 (ERD)启动机器。在a:提示符下，输入 Pcscan 命令：
pcscan /V /C /A /NOBCK.
注意：这些参数是必要加上的，以保证能扫描和清除 .OCX 、.SCR 文件。
    重新启动计算机，找到并删除 "Flcss.exe"文件。
    Windows NT系统：
1．首先要下载 Flc_kill.exe 并拷贝到软盘上，然后将软盘写保护。
2．在被感染的机器上运行软盘中的Flc_kill.exe。
    3．重新启动计算机。
4．关闭所有程序窗口，进入 MS-DOS 模式 (开始|程序|MS-DOS 窗口)。
5．插入第二张系统恢复盘，输入：A:Pcscan /v /c
    6．用趋势反病毒产品清除所有文件中的 PE_FUNLOVE.4099的病毒。
    趋势用户需要更新最新病毒码和扫描引擎，其他用户可以用趋势的HouseCall, 进行在线扫毒。

Funlove解决方案