FunLove Virüsü

FUNLOVE VİRÜSÜ
FunLove hafızada yerlesebilen Win32 virüsüdür. Kasım 1999'da ABD, _ngiltere ve
Çek Cumhuriyeti gibi ülkelserde yaygın olarak görünmüstür.
Funlove sifreli veya polimorfik bir virüs degildir. Virüs yerel ve ag sürücüsündeki PE
EXE (Windows çalıstırılabilir) dosyalara bulasır.
Virüs, bulasmıs bir dosya çalıstırıldıgındawindows SYSTEM klasöründe FLCSS.EXE
dosyası olusturur, kodunu oraya yazar ve olusturulan dosyayı çalıstırır. Bu dosya virüs
damlatıcısı olur- virüs tarafından gizli bir Windows dosyası (Windows 9x altında) veya
servisi(Windows NT altında) olarak baslatılır.
FLCSS.EXE dosyası olusturulurken hata olusursa damlatıcı dosya virüsü kendi
bulastırma fonksiyonunu kullanarak bulasmıs konukçu dosyadan yayar ve virüs yayan
fonksiyon arka planda ayrı bir "thread" olarak çalıstıgından programın çalısmasında gözle
görünür bir gecikme yasanmaz.
Bulasma fonksiyonu C:'den Z:'ye kadar olan bütün yerel sürücüleri taradıktan sonra ag
kaynaklarını da tarar ve çalıstırılabilir PE dosyalara ( .OCX, .SCR, veya .EXE uzantılı )
bulasır. Virüs kodunu dosyanın en sonuna yazar. Dosyanın basına da 8 baytlık bir kod
ekleyerek program basladıgında virüs kodunun çalıstırılmasına neden olur. Bundan sonra
programın ana kodunun çalıstırılmasına geçilir.
Virüs, agdaki bilgisayarlardan sadece mevcut bulasmıs bilgisayarın yazma hakkı
olanlara bulasabilir. Bu virüsün yayılmasını önemli ölçüde azaltır.
Virüs, bulasacagı dosyaları kontrol ederek adının ilk 4 harfi asagıdakilerden biri olanlara
bulasmaz:
ALER AMON _AVP AVP3 AVPM F-PR NAVW SCAN SMSS DDHE DPLA
MPLA
Virüs ayrıca NTLDR ve WINNTSystem32 toskrnl.exe dosyalarını Bolzano
virüsünün degistirdigi sekilde degistirir. Bu dosyalar artık kullanılamaz hale gelir ve yedekten
geri yüklenmeleri gerekir.
Virüs sadece asagıdaki metni içerir:
~Fun Loving Criminal~
Bu metin DOS'un 'This program cannot be run in DOS mode.' metninin kayıtlı oldugu
yerdedir. Program DOS ortamında çalıstırılmaya çalıstıgınızda bu kısa mesajını verir ve
sistemi yeniden baslatır.