|
A féreg a lefuttatásához az IFRAME Exploit biztonsági rést próbálja meg kihasználni. Telepíti magát a rendszerbe, majd társaihoz hasonlóan lefuttatja a terjesztőrutinját. Véletlenszerű neveken bemásolja magát a Windows System alkönyvtárba. Ezenfelül létrehoz egy Funlove.4099 vírusvariánst is, amelyet WINxxxx.PIF néven néven bemásol, szintén a Windows System alkönyvtárba. A Funlove eredeti szövege helyett a következőt tartalmazza: ~AAVAR 2002 in Seoul~
Míg az eredeti Funlove vírus neve FLCSS.EXE volt, itt AAVAR.PIF néven keletkezik. Ezek után megjelenít egy versszerű üzenetet:
Make a fool of oneself
What a foolish thing you have done!
Hogyan terjed?
A féreg a *.HTM állományokban és a .DBX (Outlook Express) levelező mappa állományokban kutat címek után, és ezekre küldi tovább magát. A címek közül azonban nem használja azokat, amelyek a "microsoft@" karaktersorozattal kezdődnek. A féreg tartalmaz egy hálózati terjedési rutint is, de egyelőre úgy tűnik, ezt a rutint nem fejezte be a vírus írója.
Hogyan büntet?
A féreg a számítógépen az antivírus, tűzfal és debugger programok folyamatait megpróbálja megkeresni és leállítani, valamint a hozzájuk tartozó állományokat letörölni. Néhány esetben (vagy talán minden alkalommal?), ha antivírus programot talál, a féreg minden állományt töröl az összes meghajtóról. Azt pontosan nem tudni, hogy szándékosan teszi, vagy ez "csak" egy programhiba a víruskódban.
Még egy aljasságot próbál meg elkövetni, végtelen ciklusban hívogatja a http://www.symantec.com oldalt, úgy tűnik, DDoS támadást próbál intézni a szerver ellen.
A jelentősebb antivírus rendszerek, köztük az F-Secure és Kaspersky Anti-Virus programok a 2002. november 25-i adatállományokkal már képesek detektálni.
Forrás: 2F 2000 Kft Anti-Virus Technical Support