Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

W32/Funlove.4099. No puede ser eliminado desde Windows
 
VSantivirus No. 169 - Año 4 - Domingo 24 de diciembre de 2000

Primer informe: VSantivirus No. 98 - Año 3 - Viernes 3 de diciembre 1999

 W32/Funlove.4099. No puede ser eliminado desde Windows
http://www.vsantivirus.com/funlove.htm

Nombre: W32/Funlove.4099
Tipo: Infector de archivos Win32
Alias: PE_Funlove.4099, W32/Funlove, W32/Flcss
Tamaño: 4.099 bytes

Éste es un virus que infecta .EXE, .SCR, y archivos .OCX de 32 bits, en la computadora local y si su PC está conectada a una red, a cualquier PC conectada a esa red, a la que usted tenga acceso de lectura.  Si se está ejecutando Windows NT 4.0 con Service Pack 3 o 4, el virus cambiará NTLDR y NTOSKRNL.EXE para dar acceso sin restricciones a todos los usuarios. Asegúrese de restaurar todos los archivos si usted se ve infectado por este virus.

Cuando se ejecuta, el virus crea un archivo llamado FLCSS.EXE en C:\WINDOWS\SYSTEM

Infecta entonces a todos los archivos PE (EXE, SCR, y OCX), en las carpetas Archivos de programas, Program Files y Windows/WinNT, incluyendo sus subcarpetas.

Mientras el EXPLORER.EXE se encuentre en memoria, el virus se re-ejecuta cada vez que el sistema se reinicia. Como EXPLORER.EXE y otros archivos del sistema, se ejecutan siempre que Windows es cargado, este virus no puede ser limpiado desde Windows, ni aún desde una ventana MS-DOS bajo Windows, sin desactivarlo antes de la memoria.

El virus agrega el archivo FLCSS.EXE al final de los archivos infectados, por lo que estos aumentarán su tamaño en 4,099 bytes. Para ejecutarse, modifica entonces la dirección del punto de entrada del archivo infectado. O sea, cuando el archivo infectado es ejecutado, es el virus el que toma el control, y luego de su acción, se lo pasa al verdadero archivo.

Bajo un entorno de Windows NT, el virus modifica el testeo de integridad de NTOSKRNL.EXE (el kernel de Windows NT), modificando el archivo cargador de este (NTLDR), el cuál está ubicado en el directorio raíz, para que no despliegue un mensaje de error (pantalla azul). Luego, también es modificado el archivo NTOSKRNL.EXE ubicado en el directorio \WINNT\SYSTEM32. Esto le permite tomar los privilegios del administrador, leyendo y modificando todos los archivos. Además, intenta ejecutarse como un servicio.

El virus infecta todos los archivos en formato Win32 Portable Executable (PE), tales como .EXE, .SCR, y .OCX en Windows 9x y NT. También busca en todas las carpetas compartidas en una red con acceso de lectura permitido e infecta los archivos con esos formatos en ellos.

No modifica los archivos cuyo nombre contengan los siguientes caracteres, presumiblemente por tratarse de nombres de antivirus o archivos relacionados con estos:

aler
amon
avp
avp3
avpm
f-pr
navw
scan
smss
ddhe
dpla
mpla 


Forma de limpiarlo manualmente

Como ya vimos, este virus no puede ser eliminado desde Windows en forma normal. Trend Micro tiene disponible en su sitio, dos pequeñas utilidades que permiten quitarlo de la memoria, aún desde Windows.

Para ello, en una computadora libre del virus, descargue estos archivos (de acuerdo a su sistema operativo):

Windows 9x:
http://www.antivirus.com/vinfo/security/flc_kill9x.zip

Windows NT:
http://www.antivirus.com/vinfo/security/flc_killnt.zip

Copie el contenido de esta utilidad (en el caso de Windows 9x, el archivo FLC_KILL9X.exe) a un disquete protegido, y luego, desde una ventana MS-DOS, teclee:

A:\FLC_KILL9X.exe [y Enter]

Esta utilidad borra el archivo FLCSS.EXE y también quita de la memoria la porción residente del virus. Crea además un subdirectorio llamado FLCSS.EXE, lo que inmuniza al PC de la acción de este virus (si existe una carpeta de igual nombre que un archivo, este archivo no podrá ser creado).

En Windows NT, refiérase a las instrucciones en el archivo README.TXT contenido en FLC_KILLNT.ZIP, ya que hay algunas diferencias.

Luego, reinicie la PC y ejecute el antivirus F-PROT desde un disquete, tal como se explica en nuestra página, para limpiar los archivos infectados.

Fuente: Trend Micro y Symantec

Relacionados:
 13/dic/00 - Cómo ejecutar F-PROT en un disquete (actualizado)

Mostrar las extensiones verdaderas de los archivos

Para poder ver las extensiones verdaderas de los archivos y además visualizar aquellos con atributos de "Oculto", proceda así:

1. Ejecute el Explorador de Windows

2. Seleccione el menú 'Ver' (Windows 95/98/NT) o el menú 'Herramientas' (Windows Me/2000/XP), y pinche en 'Opciones' u 'Opciones de carpetas'.

3. Seleccione la lengüeta 'Ver'.

4. DESMARQUE la opción "Ocultar extensiones para los tipos de archivos conocidos" o similar.

5. En Windows 95/NT, MARQUE la opción "Mostrar todos los archivos y carpetas ocultos" o similar.

En Windows 98, bajo 'Archivos ocultos', MARQUE 'Mostrar todos los archivos'.

En Windows Me/2000/XP, en 'Archivos y carpetas ocultos', MARQUE 'Mostrar todos los archivos y carpetas ocultos' y DESMARQUE 'Ocultar archivos protegidos del sistema operativo'.

6. Pinche en 'Aplicar' y en 'Aceptar'.


Limpieza de virus en Windows Me y XP

Si el sistema operativo instalado es Windows Me o Windows XP, para poder eliminar correctamente este virus de su computadora, deberá deshabilitar antes de cualquier acción, la herramienta "Restaurar sistema" como se indica en estos artículos:

Limpieza de virus en Windows Me

VSantivirus No. 499 - 19/nov/01
http://www.vsantivirus.com/faq-winme.htm

Limpieza de virus en Windows XP

VSantivirus No. 587 - 14/feb/02
http://www.vsantivirus.com/faq-winxp.htm


Actualizaciones:
04/nov/02 - Nombre: W32/Funlove.4099


(c) Video Soft - http://www.videosoft.net.uy
(c) VSAntivirus - http://www.vsantivirus.com

 

Copyright 1996-2000 Video Soft BBS