Virus.Win32.FunLove

FunLove (también conocido como Fun Loving Criminals) es un virus benigno parásito Win32 residente de memoria. Afecta a los archivos PE EXE en unidades locales y de red. Debido a su capacidad de propagación de red, el virus puede infectar la red local desde una estación de trabajo infectada, en el caso de que el permiso de acceso a la red permita la escritura de este usuario.

El virus contiene las siguientes cadenas de texto:

 ~ Diversión amorosa criminal ~

Cuando se ejecuta un archivo infectado, el virus crea un archivo FLCSS.EXE en el directorio del sistema de Windows, escribe su código "puro" allí y ejecuta este archivo. Este virus "dropper" (archivo FLCSS.EXE) tiene un formato Win32 PE y es ejecutado por el virus como una aplicación oculta de Windows (bajo Win9x) o como un servicio (bajo WinNT), y la rutina de infección toma el control.

En caso de que se haya producido un error al crear el archivo dropper (cuando el virus se ejecuta desde un archivo infectado), el virus ejecuta la rutina de infección de su ejemplo en el archivo host infectado. El proceso de búsqueda de archivos e infección se ejecuta en segundo plano como un "hilo" y, como resultado, el programa host se ejecuta sin demoras "visibles".

La rutina de infección escanea todas las unidades locales desde C: hasta Z :, luego busca recursos de red, escanea árboles de subdirectorios e infecta archivos PE que tienen una extensión de nombre .OCX, .SCR o .EXE. Al infectar un archivo, el virus escribe su código al final del archivo en la última sección del archivo y actualiza su rutina de entrada con una instrucción "JumpVirus". El virus verifica los nombres de archivo y no infecta los archivos: ALER *, AMON *, _AVP *, AVP3 *, AVPM *, F-PR *, NAVW *, SCAN *, SMSS *, DDHE *, DPLA *, MPLA *.

El virus está relacionado con la familia del virus Bolzano y parche los archivos NTLDR y WINNTSystem32ntoskrnl.exe de forma similar al virus "Bolzano". Los archivos parcheados deben restaurarse a partir de la copia de seguridad.