Existen distintas denominaciones técnicas para este virus: PE_FUNLOVE.4099, W32/FunLove.4099, Win32/Funlove.dr, o FLCSS, entre otros, pero aunque tantos nombres puedan llegar a confundirnos, quienes utilizamos internet a diario y nos preocupamos por la seguridad de nuestro equipo, venimos oyendo hablar de él desde Noviembre de 1999.

Es, sin dudas, uno de los más longevos de la época moderna de los virus informáticos, y sus 4099 bytes de tamaño son un verdadero dolor de cabeza para los administradores que encuentran sus redes infectadas por él. Pero, ¿qué motivos llevan a que este virus haya entrado en su 4to. año de vida? Intentaremos descubrirlos a continuación.

Su funcionamiento

Si uno revisa lo que el FunLove es capaz de hacer, verá que no es un virus fuera de lo común. Es un virus residente no encriptado ni polimórfico, capaz de infectar archivos Win32 PE (ejecutables de Windows 32), como aquellos de extensión EXE, SCR ú OCX, bajo plataformas Windows 95, 98 o NT 4.0.

Su primera misión es crear un archivo FLCSS.EXE en el directorio de sistema de Windows (normalmente WindowsSystem), que contiene el código completo del virus y lo ejecuta para seguir su rutina de infección desde allí. Dicho archivo es luego iniciado como un proceso oculto en Windows 95/98 o como un servicio en Windows NT.

Si llegara a ocurrir algún error durante la creación del archivo FLCSS.EXE, el virus inicia su rutina de infección desde el archivo donde se está ejecutando. Una interesante funcionalidad del FunLove es que, para evitar demoras en la ejecución del archivo infectado, el proceso de buscar e infectar archivos es ejecutado en un hilo de proceso separado en memoria.

Luego busca por archivos ejecutables en las unidades de la C a la Z, las cuales pueden ser locales o de red, e intenta infectarlos, pero no lo hace con cualquiera, evitando aquellas que comiencen con algunos nombres de archivos de antivirus o herramientas de seguridad, como:

_AVP ALER AMON AVP3 AVPM F-PR DDHE DPLA MPLA NAVW SCAN SMSS

No contiene ninguna rutina por evento (payload) y en su código puede leerse el texto ~Fun Loving Criminal~, en referencia a un grupo musical. Todo archivo que sea infectado por este virus verá incrementado su tamaño, como mínimo, en 4099 bytes.

Su amplia reproducción

Actualmente, el FunLove ocupa el 2do. lugar en el ránking de virus más reportados de la empresa Trend Micro Inc.; por su parte, para Sophos, desarrollador británico de antivirus, el W32/Flcss (otra denominación del FunLove) ocupa el 6to. lugar de su ránking de virus más reportados. Localmente, el FunLove ha estado entre los 20 virus más reportados a Virus Attack! desde la implementación de nuestro ránking.

Pero, si no es un virus fuera de lo común, ¿por qué se ha reproducido tanto y ha llegado hasta nuestros días? Las razones son varias e iremos enumerando las que consideramos más importantes durante el desarrollo del artículo.

En primer lugar, es un virus muy bien escrito. No contiene demasiados bugs como sucede con otros, tiene rutinas de contingencia ante problemas que pueda encontrarse (como fallas en la creación del archivo FLCSS.EXE), y no ocasiona incompatibilidades en las aplicaciones que infecta, evitando que su presencia sea descubierta rápidamente si no se cuenta con un antivirus.

Otro motivo de gran importancia es su posibilidad de reproducirse a través de recursos compartidos, lo que podría llevar a considerarlo también un gusano de red. Dado que el FunLove busca víctimas en las unidades locales o de red del equipo infectado, le es posible realizar esto.

Y, además, es un virus difícil de eliminar, ya que al mantenerse residente e infectar archivos ejecutables, los antivirus no pueden desinfectar el equipo mientras los programas donde el virus se ha alojado se mantengan activos. Esto lleva a que sea necesario realizar varios pasos manuales antes de poder eliminarlo, y no todos los usuarios están capacitados para ello.

Sin embargo, esas funciones, aunque por encima de lo común para los virus de los últimos tiempos, no son lo único que lo han mantenido vivo durante sus más de 3 años de vida. Algunos hechos fortuitos, para él, lo han ayudado a ser uno de los virus de más larga vida de la era internet.

En Diciembre del 2000, algunos controladores (drivers) disponibles en el sitio japonés de Hewlett Packard estuvieron infectados por el FunLove, y estimaciones realizadas por la propia empresa estimaron en 1,500 los usuarios que bajaron e instalaron los controladores y se vieron infectados por el virus.

Cuatro meses después, en Abril del 2001, el afectado fue el propio Microsoft. Durante los días 6 y 20 de ese mes, varios de los parches (hotfixes) disponibles en los sitios para miembros de los programas Premier Support y Gold Corporate Partners, estaban infectados por el virus, y aunque no se comunicó oficialmente una cifra de usuarios afectados, los mismos ascendieron a varios miles. El hecho llevó a calificar al FunLove como "el escurridizo virus de los papelones".

Y no todo terminó ahí. En Noviembre del 2001, Warner Bros., sacó a la venta un DVD de las "Powerpuff Girls", cuyos juegos interactivos para PC estaban también, ¡oh sorpresa!, infectados por el virus FunLove. El DVD fue retirado rápidamente de la venta, pero el incidente volvió a poner en las primeras planas al escurridizo virus, cerca de su 2do. aniversario.

Los amigos del FunLove

No sólo por lo antes descripto este virus sigue siendo noticia hoy en día. Un virus solitario no puede llegar muy lejos, pero uno con amigos puede sobrevivir por siempre. Varios gusanos descubiertos durante el 2002, además de realizar sus propias acciones, liberaban en los equipos que infectaban una copia del FunLove, llevando su nivel de reproducción más allá de lo que sus funcionalidades le permitían.

El último de ellos es el gusano W32/Winevar, descubierto a fines de noviembre del 2002, y que entre sus varias acciones destructivas, como la eliminación de gran cantidad de información del disco duro o un intento de denegación de servicios contra el sitio de la empresa Symantec, creaba una copia del FunLove en el equipo infectado.

Otro amigo del virus, que actualmente también se pasea por los primeros puestos de los ránkings de virus más reportados, es el W32/Brid (o Bride), el cual también fue encontrado durante Noviembre de este año, y dio un renovado aliento a la vida del FunLove.

Todo esto sumado termina dando como resultado a uno de los virus más prolíficos de la era internet, que por suerte, no contiene rutinas dañinas. Además, como observa Arnoldo Moreno Pérez en un artículo sobre el FunLove, existen al menos 5 versiones del virus que aunque no varían mucho su contenido, causaron cierta dificultad inicial para que los antivirus lo detectaran correctamente.

En el inicio de su cuarto año de vida, este virus de autor desconocido ha demostrado ser un trabajador de la infección que silenciosamente, sin tanto ruido como otros gusanos de corta vida, aún hoy se mantiene entre los virus más reportados, vivito y coleando y su "muerte" parece estar bastante lejana.

Más información

Trend Micro - Top Threats
http://www.trendmicro.com/vinfo/default.asp?sect=TT

Sophos - Top ten viruses
http://www.sophos.com/virusinfo/topten/

VSAntivirus.com - Virus Funlove se propaga en DVD de reciente lanzamiento
http://www.vsantivirus.com/01-11-01a.htm

Virus Attack! - FunLove, el escurridizo virus de los papelones
http://virusattack.virusattack.com.ar/noticias/VerNoticia.php3?idnotas=46

Virus Attack! - Virus en sitio web de Hewlett Packard Japón
http://virusattack.virusattack.com.ar/noticias/VerNoticia.php3?idnotas=21

Virus Attack! - Descripción del W32/Winevar
http://virusattack.virusattack.com.ar/base/VerVirus.php3?idvirus=577

Virus Attack! - Descripción del W32/Brid
http://virusattack.virusattack.com.ar/base/VerVirus.php3?idvirus=574

Virus Attack! - Descripción del W32/FunLove
http://virusattack.virusattack.com.ar/base/VerVirus.php3?idvirus=77