病毒名称：Win32/Funlove.4099

别名：PE_FUNLOVE.4099，W32/FUNLOVE, FUNLOVE.4099，Win32_FLC, Win32.FLC, FLCSS

病毒特点：

Win32/Funlove.4099是一个快速感染Windows 95/98和NT的病毒，而且还可以传播到网络的共享资源中，在NT操作系统中，会受到NT安全级别的控制。

该病毒将它的代码复制到宿主文件的最后一个扇区的结尾，然后，它修改PE文件头信息以显示新的扇区大小，使扇区的特征适应病毒的需要，同时病毒修改原文件入口点的程序代码以便执行病毒代码。

当一个染毒程序被运行，病毒代码程序获得系统控制权，Win32/Funlove.4099 病毒在系统目录下创建FLCSS.EXE文件，并从染毒宿主文件的最后提取出病毒代码，将其写入该文件中，然后FLCSS.EXE被执行。

如果是在NT的许可权限下运行，FLCSS.EXE会将自身像一个服务程序一样安装到NT机器上。它会以"FLC"显示在标准的NT服务列表中，并且被设置为在每次启动时自动运行此服务。在Windows 9X下，它像一个隐含程序一样运行，在任务列表中是不可见的。

在病毒程序第一次运行时，该病毒会按照一定的时间间隔，周期性地检测每一个驱动器上的EXE，SCR（屏保程序）和OCX（ActiveX control）文件，找到相应的文件就感染它们。它还搜索在网络上可使用的共享资源，并感染任何有访问权限的同一类型的文件。因此，它可以在机器间完全开放权限的共享文件上非常快地传播。该病毒检测以下文件名且不感染它们：ALER*, AMON*, _AVP*, AVP3*, AVPM*, F-PR*, NAVW*, SCAN*, SMSS*, DDHE*, DPLA*, MPLA*。

尽管该病毒对数据没有直接的破坏性，但是在NT下，该毒还是对NTOSKRNL.EXE 文件做了一个小的修改（patch），使得文件的许可请求总是返回允许访问（access allowed），这意味着被感染机器的安全已受到了极大地威胁。只要是在被修改的机器上，所有的用户都拥有了对每一个文件的完全控制访问权，即使是在系统中可能拥有最低权限的GUEST，也能读取或修改所有文件，包括通常只有管理员才能访问的文件。在NT启动时，NTLDR将检测NTOSKRNL.EXE 的完整性，所以病毒也修改NTLDR，因此NTLDR将允许系统加载修改后的NTOSKRNL文件。这种修改只能在某些NT服务包（service packs）中起作用，但是不管当前机器的SP级别病毒都会申请修改程序。在感染FLC病毒的NT机器上清除病毒后，需要用备份文件对这些被修改的文件进行恢复，或者重新安装这些文件。

如果FLCSS.EXE 运行在DOS下，病毒将显示'~Fun Loving Criminal~'字串，然后它试图通过键盘控制器重新启动系统。这大概是希望Windows被加载且病毒可能有另一个机会去执行。这种尝试经常失败，而计算机则被锁。