Funlove.4096
PeligrosidadDañoPropagación

Efectos 

Funlove.4096 se ejecuta como:

• Un servicio más del sistema (llamado FLC), en ordenadores con Windows NT.
• Un proceso, en ordenadores con Windows 98/95.

Sus efectos son:

• Infecta ficheros en todas las unidades de disco del ordenador atacado y en todas las unidades compartidas de la red a la que pertenezca y que tengan acceso de escritura (desde la c:, hasta la Z:).
  
  Los ficheros que infecta son de tipo portable ejecutable (PE) y tienen extensión EXE, OCX o SCR.

• Concede derechos de administrador, exclusivamente en ordenadores con Windows NT 4.0, a todos los usuarios que utilicen el ordenador infectado.
  
  Esto significa que dichos usuarios pueden realizar operaciones y acceder a la información contenida en él. También pueden acceder a la información de otros ordenadores conectados en red con el infectado.
  
  Para conseguirlo, Funlove.4096 necesita un ordenador con Windows NT 4.0, que tenga abierta una sesión de administrador. En tal caso modifica determinados ficheros del sistema. En el próximo reinicio, cualquier usuario es considerado administrador.

• Presenta en la pantalla el texto ~Fun Loving Criminals~ y después reinicia el ordenador. Esto supone la pérdida de aquella información que no se haya guardado desde el inicio de la sesión.

Metodo de Infección 

• Funlove.4096 crea el fichero FLCSS.EXE, en el directorio de sistema de Windows (\Windows\System o \WinNT\System32).
  
  La función de FLCSS.EXE es buscar e infectar todos los ficheros con extensión EXE, SCR y OCX. Busca estos ficheros en todas las unidades de disco (desde la C:, hasta la Z:).

• Funlove.4096 modifica los ficheros NTOSKRNL.EXE y NTLDR, cuando se ejecuta en Windows NT 4.0 y el usuario tiene derechos de administrador.
  
  - La modificación del fichero NTOSKRNL.EXE permite otorgar acceso total al sistema. Para lograrlo, Funlove.4096 modifica dos Bytes en la función API SeAccessCheck.
  
  - La modificación del fichero NTLDR evita que se descubran los cambios en el fichero NTOSKRNL.EXE. Esto lo consigue modificando un byte del mismo.

• Funlove.4096 también realiza las modificaciones anteriores en unidades de disco de los ordenadores con Windows NT pertenecientes o mapeados en una red.

Método de Propagación 

Funlove.4096 se propaga principalmente a través de redes de ordenadores.

Para lograr sus infecciones, Funlove.4096 infecta ficheros en todas las unidades de disco del ordenador afectado.

Funlove.4096 también infecta ficheros en todas las unidades compartidas en la red a la que está conectado, siempre que éstas tengan acceso de escritura.