• Esta variante crea un "dropper" del virus en "C:\Windows\System\BRIDE.EXE" en lugar de "C:\Windows\System\FLCSS.EXE".
• El texto original del Funlove es reemplazado por el siguiente: "DonkeyoVaccineiEraser"

Las letras "o" e "i" entre "Donkey", "Vaccine" y "Eraser", pertenecen al mensaje original del Funlove, lo que significa que simplemente fue re-escrito encima.

Un "Dropper" es un archivo que cuando se ejecuta "gotea" o libera un virus. Cuando un "dropper" es escaneado por un antivirus, generalmente no se detectará un virus, porque el código viral no ha sido creado todavía. El virus se crea en el momento que se ejecuta el "dropper".

Este virus no se ejecuta en Windows 2000 ni en NT (al contrario del Funlove).

En Windows 98 o Me, el gusano sobrescribe con el código del "dropper", el comienzo del archivo MSCONFIG.EXE (el programa de configuración del sistema) en el mismo directorio donde se instala el Funlove (carpeta Windows\System).

Este archivo por lo tanto no puede ser reparado por un antivirus, debiendose recuperar el original de los archivos de instalación (en Windows Me, el archivo de recuperación no funcionará sin la presencia de MSCONFIG.EXE. En Windows 98 y XP, existe la utilidad SFC.EXE para poder hacer esto, ver "Cómo Recuperar archivos con SFC en Windows 98 y Me", http://www.vsantivirus.com/faq-sfc.htm).

El gusano también libera una copia de si mismo con el nombre de REGEDIT.EXE. Existe otro archivo con el mismo nombre (el editor del registro de Windows), que es parte de Windows, y se encuentra en la carpeta Windows:

C:\Windows\Regedit.exe (original de Windows)
C:\Windows\System\Regedit.exe (copia del gusano)

Las copias del gusano en la carpeta System son las siguientes:

C:\Windows\System\REGEDIT.EXE
C:\Windows\System\BRIDE.EXE

BRIDE.EXE es el código del Funlove. El W32/Funlove es reconocido por todos los antivirus.

El gusano ejecuta a este virus, el cuál es un infector de archivos residente en memoria y escrito en Visual Basic 6.

El "Funlove" primero infecta todos los archivos .EXE de las unidades de discos locales, y luego continúa con las unidades compartidas en red. Es importante desconectar todas las computadoras de una red antes de proceder a su limpieza, y luego seguir las indicaciones en "W32/Funlove.4099. No puede ser eliminado desde Windows", http://www.vsantivirus.com/funlove.htm).

El gusano busca direcciones de correo en archivos con extensiones .HTM y .DBX (páginas Web y bases de mensajes del Outlook), en la máquina infectada (evita direcciones que contengan la cadena "@microsoft.com"). Luego, se envía a si mismo a todas las direcciones recogidas, usando su propia máquina SMTP.

El mensaje tiene estas características (las referencias son al usuario de la máquina infectada que envía el mensaje, y varían en cada infección):

De: [nombre de usuario registrado]
Asunto: [nombre de la compañía registrada]
Datos adjuntos: README.EXE (114 Kb)

Texto:

Hello,

Product Name: [versión de Windows]
Product Id: [identificador del Windows instalado]
Product Key: [clave de registro de Windows]

Process List:
[lista de procesos que se están ejecutando]

Thank you.

Por ejemplo:

Product Name: Microsoft Windows ME
Product Id: xxxxx-OEM-xxxxxxx-xxxxx
Product Key: yyyyy-yyyyy-yyyyy-yyyyy-yyyyy

Las "xxx" son letras y números que identifican al producto instalado. Las "yyy" son letras y números de la clave de registro que Windows pide para instalarse.

Los datos de todas estas variables, son tomados de la siguiente clave del registro:

HKLM\Software\Microsoft\Windows\CurrentVersion

Cuando no existe un [nombre de la compañía registrada], el "Asunto" aparece vacío.

El gusano crea una de las dos siguientes entradas en el registro para ejecutarse en cada reinicio del sistema:

Opción 1:

HKLM\Software\Microsoft\Windows\CurrentVersion\Run
regedit = C:\WINDOWS\SYSTEM\regedit.exe

Opción 2:

HKCU\Software\Microsoft\Windows\CurrentVersion\Run
regedit = C:\WINDOWS\SYSTEM\regedit.exe

También crea tres nuevas claves bajo la siguiente rama del registro:

HKLM\SOFTWARE\Microsoft\Windows
\CurrentVersion\explorer\RemoteComputer

Además, crea otras dos copias del gusano en el escritorio de Windows (escritorio de usuario)

C:\WINDOWS\Escritorio\EXPLORER.EXE
C:\WINDOWS\Escritorio\HELP.EML

El archivo HELP.EML es un mensaje de Outlook Express con la vulnerabilidad descripta en el boletín MS01-020 (http://www.vsantivirus.com/vulms01-020.htm), que permite ejecutar un adjunto sin abrirlo, simplemente por leer el mensaje o verlo en el panel de vista previa (vulnerabilidad en los encabezados MIME).

Crea además estos archivos en la carpeta de temporales de Windows:

C:\Windows\TEMP\Brade0.tmp 
C:\Windows\TEMP\Brade1.tmp

En un intento de confundir aún más al usuario, las propiedades del archivo README.EXE, hacen referencia en la descripción a un supuesto "Anti Virus World System", y el nombre de la compañía es "Trend Microsoft Inc" (una extraña mezcla de un conocido fabricante de antivirus y la empresa de Bill Gates.

El gusano también intenta finalizar los procesos que contengan estas cadenas, y que se estén ejecutando en memoria:

- S
_NP
IRMON
MONIKER
MS_
MST
PROGRAM
SMTPSVC
VIEW

Después que el adjunto es ejecutado, el gusano finaliza las utilidades "Regmon" y "Filemon" de la empresa Sysinternals, si estas se están ejecutando. Ambas son herramientas gratuitas que monitorean las modificaciones al registro y los archivos ejecutados (http://www.sysinternals.com/win9x/98utilities.shtml).

Cuando W32/Bride realiza su infección, elimina temporalmente los iconos del escritorio.

El archivo EXPLORER.EXE copiado en el escritorio tiene el icono del Internet Explorer. Cuando este archivo es ejecutado, y el gusano está en memoria, intenta conectarse a una de las siguientes direcciones:

http://www.hotmail.com
http://www.sex.com

En ocasiones, si al reiniciar el sistema infectado, el gusano detecta algún programa activo en memoria, cuyo nombre tenga parte de algunas de las siguientes cadenas, procede a congelar al sistema, debiendo ser reiniciado con el botón de Power (esto podría ser para evitar ser detenido antes de estar en memoria, por alguna herramienta de análisis o de protección):

anti
debug
fire
iom
mon
prot
secu
view
vir

Reparación manual

IMPORTANTE: La eliminación de este gusano, solo ocurrirá si se procede al borrado de todos los archivos creados por el mismo, además de la limpieza de todos los infectados por el Funlove. Además, los archivos sobrescritos (como MSCONFIG.EXE) deberán ser reinstalados o copiados de un respaldo anterior. Esto puede ocasionar dificultades a un usuario sin experiencia, recomendándose la actuación de un servicio técnico especializado para realizar estas tareas si no desea arriesgarse a perder información valiosa de su computadora.


Reparación sugerida

1. Actualice sus antivirus con las últimas definiciones, luego reinicie Windows en modo a prueba de fallos, como se indica en este artículo:

VSantivirus No. 499 - 19/nov/01
Cómo iniciar su computadora en Modo a prueba de fallos.
http://www.vsantivirus.com/faq-modo-fallo.htm

2. Ejecútelos en modo escaneo, revisando todos sus discos duros. Sugerimos hacerlo con F-Prot, que es gratuito para uso personal:

Cómo ejecutar F-PROT desde disquetes
http://www.vsantivirus.com/fprot-disq.htm

3. Repare los archivos detectados como infectados (algunos deberán ser borrados).


Reparación de W32/Funlove

Para la reparación de la infección causada por el Funlove, siga estas instrucciones:

W32/Funlove.4099. No puede ser eliminado desde Windows
http://www.vsantivirus.com/funlove.htm

Asegúrese de ejecutar la herramienta "FLC_KILL9X.exe" como se indica allí.


Editar el registro

1. Ejecute el editor de registro: Inicio, ejecutar, escriba REGEDIT y pulse ENTER

2. En el panel izquierdo del editor, pinche en el signo "+" hasta abrir la siguiente rama:

HKEY_CURRENT_USER
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

3. Pinche en la carpeta "Run" y en el panel de la derecha busque y borre la siguiente entrada:

regedit = C:\WINDOWS\SYSTEM\regedit.exe

Nota: También pruebe los pasos 2 y 3 con esta rama del registro:

HKEY_LOCAL_MACHINE
\SOFTWARE
\Microsoft
\Windows
\CurrentVersion
\Run

4. Use "Registro", "Salir" para salir del editor y confirmar los cambios.

5. Reinicie su computadora (Inicio, Apagar el sistema, Reiniciar).

6. Vuelva a ejecutar F-Prot desde disquete como se indica aquí:

Cómo ejecutar F-PROT desde disquetes
http://www.vsantivirus.com/fprot-disq.htm


Borrar los archivos creados por el gusano

Desde el Explorador de Windows, localice y borre los siguientes archivos:

C:\Windows\System\BRIDE.EXE
C:\Windows\System\MSCONFIG.EXE
C:\Windows\System\REGEDIT.EXE
C:\WINDOWS\Escritorio\EXPLORER.EXE
C:\WINDOWS\Escritorio\HELP.EML
C:\Windows\TEMP\Brade0.tmp 
C:\Windows\TEMP\Brade1.tmp

Borre también los mensajes electrónicos similares al descripto antes (incluido README.EXE).

Pinche con el botón derecho sobre el icono de la 'Papelera de reciclaje' en el escritorio, y seleccione 'Vaciar la papelera de reciclaje'.


Cómo recuperar MSCONFIG.EXE

En Windows 98:

1. Desde Inicio, Ejecutar, escriba SFC y pulse Enter.

2. Marque "Extraer un archivo del disco de instalación"

3. En la ventana "Especifique el archivo del sistema que desea restaurar", escriba el nombre del archivo a restaurar:

MSCONFIG.EXE

4. Pinche en "Iniciar".

5. En "Restaurar de" escriba el camino completo a los archivos de instalación de Windows (en el CD, generalmente es D:\WIN98, si la unidad de CD fuera la D:, de lo contrario busque su ubicación en el disco duro, donde se suelen copiar antes de una instalación).

6. En "Guardar archivo en" asegúrese de tener "C:\WINDOWS\System" (sin las comillas).

7. Pinche en "Aceptar".

8. Confirme la carpeta para copias de seguridad y pinche nuevamente en "Aceptar" (si no existe, tal vez se genere ahora esta carpeta, generalmente: "C:\WINDOWS\Helpdesk\SFC").

En Windows Me:

1. Abra el explorador de Windows para leer el archivo "WIN_17.CAB", dentro de la carpeta de instalación de Windows. Por ejemplo:

D:\Win9x\Win_17.Cab

2. Haga doble clic sobre WIN_17.CAB.

3. Busque en la lista el archivo "msconfig.exe" y pinche sobre él.

4. En la lista "Buscar carpeta", seleccione la carpeta para guardar el archivo:

C:\Windows\System

5. Si le pregunta si desea modificarlo o sobrescribirlo, responda que SI.

IMPORTANTE: Para proceder a modificar este archivo del sistema, debe asegurarse haber deshabilitado la herramienta "Restaurar sistema" como se explica al final ("Limpieza de virus en Windows Me y XP"), así como tener habilitada la opción "Ver todos los archivos" que se explica a continuación en "Mostrar las extensiones verdaderas de los archivos".


Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm



(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com