製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:F
ウイルス情報
ウイルス名危険度
W32/FunLove.4099
企業ユーザ:
個人ユーザ:
種別ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
対応定義ファイル
(現在必要とされるバージョン)
4052 (現在7508)
対応エンジン4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名FLCSS.EXE:Funlove:PE_FUNLOVE.4099 (Trend):W32.FunLove.4099 (NAV):W32.Funlove.int (NAV):W32/Flcss (Sophos):W32/Funlove.4099.dr (VirusScan):W32/FunLove.dr:W32/FunLove.gen (VirusScan):W95/FunLove.4099 (F-Prot):Win32.FLC:Win32.FunLove.4070 (AVP)
亜種W32/FunLove.app
情報掲載日99/11/09
発見日(米国日付)99/11/09
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法
セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/22RDN/Generic....
07/22RDN/Generic....
07/22Generic.tfr!...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7508
 エンジン:5600
 
ウイルス検索
 


ウイルスの特徴TOPに戻る

2001年2月28日更新

・2001年2月28日に更新された、企業環境の駆除方法の.RTFファイル(英語)を参照してください。

2000年9月30日更新

・注:詳細で段階的なプロセスを説明している企業環境の駆除セクションの更新された方法に従えば、無害な状態で、ユーザの環境からW32/FunLove.4099を駆除することができます。


・W32/FunLove.4099は、寄生型のWin32 PEファイルで、自身をファイルの最後のPEセクションに追加することによって、EXE、SCR、OCXファイルに感染します。また、W32/FunLove.4099のコードへジャンプすることによって、プログラムの開始部分でコードの最初の8バイトを上書きします。W32/FunLove.4099を駆除するには、VirusScanまたはNetShield 4.5プロダクトとともに、最小バージョン4.0.70のエンジンで、SCAN.EXEを使用する必要があります。

・Windows9x/MEでは、ファイルサイズは4099バイトごとに増加しますが、Windows NT/2K/XPでは、最小4099バイトごとで、一般にはそれ以上で増加します。確認されているテストでは、最大約7000バイトになりました。

・W32/FunLove.4099が最初に実行されると、SYSTEMフォルダにFLCSS.EXEというファイルをドロップ(作成)します(FLCSS.EXEファイルが存在しない場合のみ)。FLCSS.EXEファイルは独立したプロセスとして実行され、W32/FunLove.4099の常駐部分となります。その後、Program FilesおよびWINDOWS(%WinDir%)フォルダ(すべてのサブフォルダを含む)内の、EXE、SCR、OCXファイルすべてに直接感染します。この場所に、デフォルトのWindows ShellのExplorer.exeが存在するため、システムが再起動されるたびにW32/FunLove.4099が再実行されます。

・Windows NT/2K/XPでは、現在のユーザが管理者権限でログインしている場合、W32/FunLove.4099は、W32/Bolzanoウイルスから借りたルーチンを使用し、NTOSKRNL.EXEおよびNTLDRファイルにパッチを適用します。このパッチは次のシステムが再起動した後に、すべてのユーザにシステムへの管理者権限を与えます。これによって、W32/FunLove.4099(および権限が低レベルのすべてのユーザ)は、完全で無制限にシステムへアクセスできるようになります。

・W32/FunLove.4099は、書き込みアクセス権によってすべてのネットワーク共有を定期的にスキャンし、すべての共有ネットワークドライブ内のEXE、SCR、OCXファイルに感染します。「FLC」プロセスがバックグラウンドで実行され、最初にローカルドライブを検索し、その後ランダムな回数(この回数はランダム数によります)を待ちながら、ローカルドライブの検索に戻るか、ネットワークの検索を開始して終了後にローカルドライブの検索に戻ります。

・W32/FunLove.4099は暗号化されておらず、ポリモルフィック性もありません。

・DOSで実行されると、FLCSS.EXEファイルは「~Fun Loving Criminal~」というメッセージを表示し、その後Windowsを読み込むためにマシンをリセットしようと試みます。

以下の症状が見られる場合、このウイルスに感染している可能性があります。TOPへ戻る
1)Windows 9x/MEの場合4099バイトずつ、Windows NT/2K/XPの場合さまざまなバイト数(最小4099バイト)でファイルサイズが増加します。

2)「~Fun Loving Criminal~」メッセージが表示されます。

3)WindowsシステムフォルダにFLCSS.EXEファイルが存在します。

4)W32/FunLove.4099は、ローカルハードディスクおよびネットワーク上で、次のターゲットを検索します。

5)証明されたActiveXコントロールは、署名がファイルに適合しないという警告を出します。

感染方法TOPへ戻る

・感染ファイルを実行すると、ローカルシステムおよびアクセス可能なネットワーク共有を直接感染します。

・W32/FunLove.4099がActiveXコントロール(OCXファイル)に感染するため、ActiveXコントロールをサポートするWebブラウザを介してシステムが感染する可能性もあります。

・W32/FunLove.4099がActiveXコントロールが埋め込まれたWebページを含むサーバを感染し、これらのコントロールが感染している場合、そのWebページを閲覧するすべてのユーザが、ActiveXコントロールをダウンロードして実行した後に感染します。ActiveXコントロールが署名されておらず、ブラウザのセキュリティが「低」にセットされていた場合、ユーザには、署名がファイルに適合しないという警告なしに、ActiveXコントロールを実行するかどうかの選択オプションが表示されます。

駆除方法TOPへ戻る
・W32/FunLove.4099を駆除するには、VirusScanまたはNetShield 4.5プロダクトとともに、最小バージョン4.0.70のエンジンで、SCAN.EXEを使用する必要があります。

コマンドライン スタンドアロンW32/FunLove.4099ウイルス駆除

・Windows NTでは、NTOSKRNL.EXEおよびNTLDRファイルがバックアップから復元され、W32/FunLove.4099によって作成された潜在的なセキュリティホールを駆除します。

企業環境におけるW32/FunLove.4099ウイルスワームの駆除(.RTF)(英語)

・ブートスキャンのために、クリーンシステムを使用することで、この更新を抽出して既存の緊急起動ディスクファイルをコピーします。

・W32/FunLove.4099は、既知のクリーンシステムから作成された緊急ディスクを使用して、すべてのハードドライブから駆除することができます。

・駆除されたシステムは、システムがすべてスキャン・駆除されるまで、どのネットワークにも接続しないでください。ユーザはMicrosoft社のサーバを含むそれぞれのシステムで、緊急修正用プロダクトのクリーンフロッピーディスクから起動する必要があります。

・すべての感染システム内のW32/FunLove.4099は、ディスクスペースを「共有」する同じネットワーク上で、ほかのシステムに感染します。さらに、このウイルスはメモリ駐在型であり、ディスクスペースを共有しているすべてのシステムに再感染するので、駆除中または駆除後にネットワークに接続する場合、できるだけ早く駆除してください。

・Windows 9x/ME, WinNT/2K/XP FATシステムの駆除:
特定のエンジンおよび定義ファイルを使用して検出します。駆除するために、MS-DOSモードを起動するか、緊急起動フロッピーディスクを使用し「SCAN.EXE C: /CLEAN /ALL」などのコマンドラインスキャナを使用します。

亜種
名前タイプサブタイプ違い
W32/FunLove.app ウイルスWin32定義ファイル4112に追加され、定義ファイル4115で駆除機能が改善されました。FunLoveウイルス本体を持つウイルスですが、実行能力がないため、自身を複製することは出来ません。ウイルス本体は、PEファイル(Windows EXEファイル)の最後にあり、駆除することが可能です。