dslreports logo
 
    All Forums Hot Topics Gallery
spc
uniqs
29

Name Game
Premium Member
join:2002-07-07
Grand Rapids, MI

Name Game to psloss

Premium Member

to psloss

Re: udp/137 activity may be tied to scrsvr.exe malware

And the FLCSS.EXE is the name for funlove.4099 which at this time is the "number one" virus/worm in the world going all over the place.

____________________________--

VSantivirus No. 169 - Año 4 - Domingo 24 de diciembre de 2000

Primer informe: VSantivirus No. 98 - Año 3 - Viernes 3 de diciembre 1999

Nombre: PE_Funlove.4099
Tipo: Infector de archivos Win32
Alias: W32/Funlove, W32/Flcss
Tamaño: 4.099 bytes

Éste es un virus que infecta .EXE, .SCR, y archivos .OCX de 32 bits, en la computadora local y si su PC está conectada a una red, a cualquier PC conectada a esa red, a la que usted tenga acceso de lectura. Si se está ejecutando Windows NT 4.0 con Service Pack 3 o 4, el virus cambiará NTLDR y NTOSKRNL.EXE para dar acceso sin restricciones a todos los usuarios. Asegúrese de restaurar todos los archivos si usted se ve infectado por este virus.

Cuando se ejecuta, el virus crea un archivo llamado FLCSS.EXE en C:\WINDOWS\SYSTEM.

Infecta entonces a todos los archivos PE (EXE, SCR, y OCX), en las carpetas Archivos de programas, Program Files y Windows/WinNT, incluyendo sus subcarpetas.

Mientras el EXPLORER.EXE se encuentre en memoria, el virus se re-ejecuta cada vez que el sistema se reinicia. Como EXPLORER.EXE y otros archivos del sistema, se ejecutan siempre que Windows es cargado, este virus no puede ser limpiado desde Windows, ni aún desde una ventana MS-DOS bajo Windows, sin desactivarlo antes de la memoria.

El virus agrega el archivo FLCSS.EXE al final de los archivos infectados, por lo que estos aumentarán su tamaño en 4,099 bytes. Para ejecutarse, modifica entonces la dirección del punto de entrada del archivo infectado. O sea, cuando el archivo infectado es ejecutado, es el virus el que toma el control, y luego de su acción, se lo pasa al verdadero archivo.

Bajo un entorno de Windows NT, el virus modifica el testeo de integridad de NTOSKRNL.EXE (el kernel de Windows NT), modificando el archivo cargador de este (NTLDR), el cuál está ubicado en el directorio raíz, para que no despliegue un mensaje de error (pantalla azul). Luego, también es modificado el archivo NTOSKRNL.EXE ubicado en el directorio \WINNT\SYSTEM32. Esto le permite tomar los privilegios del administrador, leyendo y modificando todos los archivos. Además, intenta ejecutarse como un servicio.

El virus infecta todos los archivos en formato Win32 Portable Executable (PE), tales como .EXE, .SCR, y .OCX en Windows 9x y NT. También busca en todas las carpetas compartidas en una red con acceso de lectura permitido e infecta los archivos con esos formatos en ellos.

No modifica los archivos cuyo nombre contengan los siguientes caracteres, presumiblemente por tratarse de nombres de antivirus o archivos relacionados con estos:
aler
amon
avp
avp3
avpm
f-pr
navw
scan
smss
ddhe
dpla
mpla

Forma de limpiarlo manualmente

Como ya vimos, este virus no puede ser eliminado desde Windows en forma normal. Trend Micro tiene disponible en su sitio, dos pequeñas utilidades que permiten quitarlo de la memoria, aún desde Windows.

Para ello, en una computadora libre del virus, descargue estos archivos (de acuerdo a su sistema operativo):

Windows 9x:
»www.antivirus.com/vinfo/ ··· ll9x.zip

Windows NT:
»www.antivirus.com/vinfo/ ··· llnt.zip

Copie el contenido de esta utilidad (en el caso de Windows 9x, el archivo FLC_KILL9X.exe) a un disquete protegido, y luego, desde una ventana MS-DOS, teclee:

A:\FLC_KILL9X.exe [y Enter]

Esta utilidad borra el archivo FLCSS.EXE y también quita de la memoria la porción residente del virus. Crea además un subdirectorio llamado FLCSS.EXE, lo que inmuniza al PC de la acción de este virus (si existe una carpeta de igual nombre que un archivo, este archivo no podrá ser creado).

En Windows NT, refiérase a las instrucciones en el archivo README.TXT contenido en FLC_KILLNT.ZIP, ya que hay algunas diferencias.

Luego, reinicie la PC y ejecute el antivirus F-PROT desde un disquete, tal como se explica en nuestra página, para limpiar los archivos infectados.

Fuente: Trend Micro y Symantec

Relacionados:
13/dic/00 - Cómo ejecutar F-PROT en un disquete (actualizado)