Morsom kjærlighet middels risikabelt

Siste utvikling på virusfronten: FunLove. Dette er et virus som angriper filsystemet i Windows NT på nye måter.

Selv om navnet skulle tilsi noe annet - det er lite som er smukt og kjærlig med FunLove. Dataviruset, som blant teknologer omtales som W32.FunLove.4099, tvang et stort europeisk selskaps servere i kne i forrige uke, og er dessuten oppdaget i en rekke bedrifter i USA, ifølge forskere ved Symantecs antivirussenter.

Som alltid når nye virus oppdages og rapporteres, har virusbekjemperne en god og (minst) en dårlig nyhet å komme med.

Den gode nyheten er at FunLove neppe kommer til å spre seg særlig raskt fordi det ikke har innebygget muligheten til å videresende seg selv som elektronisk post, slik eksempelvis Melissa-viruset er i stand til.

Den dårlige nyheten er at viruset tar i bruk en ny metode for å angripe filsikkerhetssystemet i operativsystemet Windows NT. Viruset kan dessuten benytte nettverket til å spre seg selv til delte disker.

- Det representerer en aldri så liten evolusjon hva virusskriving angår, sier Symantechs forskningsdirektør Charles Renert til PC Week US.

Etter det digi.no har fått bragt på det rene graderer datavirusbekjemperne foreløpig FunLove som "medium risk", men holder viruset for sikkerhets skyld fremdeles "on watch".

Network Associates' websider karakteriseres W32/FunLove.4099 som et "parasittisk" virus som angriper både Windows 9x og Windows NT 4.0. Viruset infiserer .EXE-, .SCR- og .OCX-filer.

Når viruset kjøres første gang, legger det inn en fil kalt fclss.exe i %SYSTEM%-mappa.Viruset infiserer så direkte samtlige EXE, SCR og OCX-filer i mappene programfiler (eller Program Files) og systemmappa i Windows (eller WINNT), inklusive alle underkataloger.

Hvis du finner filen fclss.exe i din systemkatalog er altså PC-en din infisert av viruset. Når filen eksekveres i gamle gode DOS, spretter beskjeden ~Fun Loving Criminal~ opp på skjermen, og virusprogrammet prøver å slå av maskina for å starte Windows.

Viruset er ikke kryptert og det er heller ikke polymorfisk - det vil si at det ikke endrer karakter etter hvert som det spres og startes på nytt.

Målet for viruset er å angripe filsikkerhetssystemet i Windows NT. For å få til dette må viruset få administratorrettigheter på en NT-server eller -arbeidsstasjon. Så fort administratoren logger seg på NT, modifiseres NT-kjernen slik at hver bruker får administrator-rettigheter på den aktuelle maskinen - uansett eventuelle beskyttelsessperrer.

Det betyr at en "gjest" - det vil si den som har absolutt færrest mulige brukerrettigheter på systemet - kan lese og endre alle filer, også filer som normalt kun kan endres av administratoren.

Foruten fclss.exe-fila er også generelle filøkninger i systemet på 4099 bytes en indikasjon på at din datamaskin er infisert.

Ifølge Network Associates' virusbibliotek eksisterer det i skrivende stund godt over 47.500 virus, hvorav disse ti er de mest utbredte:
  • W/97/Marker.gen
  • X97M/Laroux (navnet på en "virusfamilie")
  • W97M/Ethan (familie)
  • O97M/Tristate (familie)
  • W97/Class (familie)
  • W32/Pretty.Worm
  • W97M/Melissa (familie)
  • W32/Ska (alias Happy99)
  • W97M/VMPCK (familie)
  • VBS/Freelink

Hva sistnevnte angår, rapporterer den norske virusbekjemperen Norman nå at en ny variant av viruset har dukket opp "in the wild". VBS/FreeLins, der VBS står for Visual Basic Script, er et virus av worm-typen og det spres via e-post, deling av disker og ved å benytte skriptmuligheter i IRC-klienter. digi.no har tidligere omtalt den opprinnelige varianten (Ny e-post-orm markedsfører porno).

E-post-varianten kommer til deg med teksten "check this" i subject-feltet (emne- eller tittel-feltet, dersom du har en norskspråklig e-postleser), hvorpå teksten "Have fun with these links. Bye" følger. Med på lasset følger også et VB-skript, som regel døpt "links.vbs".

Dersom du åpner vedlegget på en datamaskin som støtter Windows Scripting Host (standardinnstilling i Windows 98 og betaversjoner av Windows2000 - valgmulighet i andre 32-bitsversjoner av Windows) får du opp teksten:



DesktopFREE XXX LINKS.URL
This will add a shortcut to the XXX sites on your desktop.
Do you want to continue (Yes/No).

Viruset vil så lage to VB-skriptfiler på PC-ens harddisk. Svarer du ja ("yes") på spørsmålet ovenfor, vil ormen søke gjennom dine adressebøker i Windows Outlook 98 og Outlook 2000, dersom noen av disse kjøres, og videresende seg selv til alle adressatene. E-posten sendes ut som bcc (blind carbon copy) - dvs. at mottakeren ikke umiddelbart ser navnene til alle de andre som mottar samme mail.

Ved spredning over delte disker vil ormen kopiere .vbs-filen til disse diskene og slik spre seg over nettverket. Det vil også foreta endringer i Windows slik at det ondsinnede skriptet starter på nytt hver gang Windows startes.

For å fjerne viruset anbefaler Norman følgende framgangsmåte::
- Slett vedlegget fra e-posten
- Slett fila [windowsdir]\links.vbs
- Slett fila [windowsdir]\system\rundll.vbs
- Slett registernøkkelen HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Current`Version\Run\Rundll
Til toppen