ชื่อ : W32.FunLove.4099
ค้นพบเมื่อ : 11 พฤศจิกายน 2542
ปรับปรุงข้อมูลเมื่อ : 23 เมษายน 2545
ชนิด : ไวรัส

ระดับความรุนแรง : ปานกลาง

การทำงานของไวรัส

• ระบบปฏิบัติการ Windows 95/98
  ไวรัส W32.FunLove.4099 จะสร้างไฟล์ที่ชื่อ Flcss.exe ที่เก็บอยู่ในไดเรกทอรี่ %System% เช่น C:\Windows\System  และจะเรียกใช้งานไฟล์ดังกล่าว แต่ถ้าหากไม่สามารถที่จะเรียกใช้งานได้ ไวรัสก็จะทำการเรียกใช้งานไฟล์โปรแกรมอื่นที่ถูกไวรัสชนิดนี้ฝังตัวอยู่
  
  
• ระบบปฏิบัติการ Windows NT
  ไวรัสที่ติดอยู่บน Windows NT จะสามารถทำงานได้ก็ต่อเมื่อมีการล็อกออนเป็น Administrator หรือบุคคลที่มีสิทธิเทียบเท่า ดังนั้นเมื่อมีการล็อกออนเป็น Administrator ไวรัส W32.FunLove.4099 จะทำการเปลี่ยนแปลงไฟล์ Ntoskrnl.exe ที่เก็บในไดเรกทอรี่ %Winnt\System% เช่น C:\Winnt\System32 โดยเปลี่ยนแปลง security API ที่ชื่อ SeAccessCheck ทำให้ผู้ใช้งานระบบทุกคนมีสิทธิในการเข้าถึงทุกไฟล์

คำแนะนำก่อนการกำจัดไวรัสสำหรับคอมพิวเตอร์ในระบบเครือข่าย
เนื่องจากไวรัสชนิดนี้สามารถแพร่กระจายผ่านทางเครือข่ายได้ ดังนั้นก่อนที่จะกำจัดไวรัส จึงควร

• ตัดการเชื่อมต่อของเครื่องที่ติดไวรัสออกจากเครือข่าย
• ยกเลิกการแชร์ข้อมูลภายในเครื่องที่ติดไวรัส

คำแนะนำในการกำจัดไวรัส W32.FunLove.4099
คำแนะนำการในการกำจัดไวรัสนี้อ้างอิงจาก http://dervice2.symantec.com/SARC/sarc.nsf/html/pf/w32.funlove.4099.html อย่างไรก็ตาม สามารถเลือกใช้เครื่องมือกำจัดไวรัส Funlove จากผู้พัฒนาโปรแกรม Anti Virus ค่ายอื่นๆ เช่น

• Mcafee http://www.mcafeeb2b.com/naicommon/avert/avert-research-center/tools.asp#002
• Trend Micro http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_FUNLOVE.4099

การกำจัดไวรัส W32.FunLove.4099 ด้วยเครื่องมือ (fix tool ==> FixFun.exe)
FixFun.exe เป็นเครื่องมือที่ช่วยในการกำจัด W32.FunLove.4099 เป็นโปรแกรมที่รันบน DOS 16 บิต ดังนั้นจึงต้องบูตเครื่องด้วย DOS ก่อนที่จะรันโปรแกรมนี้ และโปรแกรมนี้ไม่สามารถทำงานได้ภายใต้ DOS prompt ของ Windows (เรียกโปรแกรม Command จาก Windows )

หมายเหตุ

• ถ้าคุณใช้ระบบไฟล์แบบ NTFS คุณต้องเรียกใช้งานโปรแกรม NTFS DOS Driver ที่มี Read/Write driver ก่อนที่จะรัน FixFun.exe
• driver ที่กล่าวมาข้างต้นท่านสามารถหาข้อมูลเพิ่มเติมได้ที่
  • http://www.sysinternals.com/ntw2k/freeware/ntfsdospro.shtml
  • http://www.winternals.com/products/repairandrecovery/ntfsdospro.shtml
• FixFun.exe จะซ่อมเพียงไฟล์ที่โดนไวรัส W32.FunLove.4099 ฝังตัวอยู่เท่านั้น แต่จะไม่สามารถซ่อมไฟล์ที่โดนไวรัส W32.FunLove.int ฝังตัวอยู่ได้ จึงลบไฟล์ดังกล่าวแทน

การทำงานของโปรแกรม FixFun.exe 

• สแกนฮาร์ดไดร์ฟหาไฟล์ที่ถูกไวรัส W32.FunLove.4099 ฝังตัวอยู่ และซ่อมแซมไฟล์ดังกล่าวถ้าสามารถทำได้
• ถ้าระบบถูกฝังตัวโดยไวรัสแล้ว โปรแกรม FixFun.exe จะสร้างไดเรกทอรีใหม่ที่มีชื่อเดียวกันกับไฟล์ที่บรรจุโค้ดของ Flcss.exe ณ ตำแหน่งที่พบไฟล์ดังกล่าว และถ้าไฟล์นั้นถูกเปลี่ยนชื่อแล้วไดเรกทอรีจะมีชื่อตามชื่อไฟล์ที่เปลี่ยนไปด้วย
• หากเริ่มรัน FixFun.exe ในระบบที่มีไวรัสฝังตัวอยู่ในหน่วยความจำ FixFun.exe จะไม่สามารถหยุดการทำงานของ Flcss.exe ลงได้ ดังนั้นจึงควรที่จะบูต DOS จากแผ่นดิสก์ที่ไม่ถูกไวรัสฝังตัวเสมอ 
• ใน Windows NT เครื่องมือนี้จะซ่อมแซม Ntoskrnl และ Ntldr

1. ดาวน์โหลด FixFun.exe ใส่แผ่นดิสก์
2. รีบูตเครื่องโดยใช้แผ่นบูต DOS
   • ถ้าระบบไฟล์เป็น FAT16 สามารถใช้แผ่นบูต DOS เวอร์ชั่นไหนก็ได้
   • ถ้าระบบไฟล์เป็น FAT32 ให้ใช้แผ่นบูต DOS เวอร์ชั่น 7.01 ขึ้นไป
3. เปลี่ยนแผ่นจากแผ่นบูตเป็นแผ่นที่มีโปรแกรม FixFun.exe
4. ที่ A: พร้อมต์ ให้คำสั่งต่อไปนี้แล้วกด Enter

   fixfun /a > c:\funlog.txt

   ทุกไดร์ฟจะถูกสแกน

5. ปล่อยให้โปรแกรมรันซึ่งอาจจะใช้เวลาหลายนาที
6. เมื่อโปรแกรม FixFun.exe ทำงานเสร็จแล้ว ให้พิมพ์คำสั่งต่อไปนี้แล้วกด Enter

   more < c:\funlog.txt

   หมายเหตุ 
   • คำสั่งดังกล่าวจะแสดงข้อมูลจากล็อกไฟล์ทีละหน้า ถ้ามีเกินหนึ่งหน้า ให้กดปุ่ม spacebar เพื่ออ่านหน้าต่อไป
   • จำนวนไฟล์ที่ถูกไวรัสฝังตัวจะต้องเท่ากับจำนวนไฟล์ที่ถูกซ่อมแซม ให้ตรวจสอบล็อกไฟล์อย่างระมัดระวังเพราะล็อกจะแสดงไฟล์ที่ไม่สามารถซ่อมแซมได้ วิธีแก้ไขคือให้หาไฟล์นั้นที่ไม่ได้ถูกไวรัสฝังตัวมาแทนที่ก่อนที่จะรีบูตครั้งต่อไป
     
     
7. รีสตาร์ทเครื่อง ก็เป็นอันเสร็จวิธีการกำจัดไวรัส W32.FunLove.4099

1. ดาวน์โหลด FixFun.exe ใส่แผ่นดิสก์
2. รีบูตเครื่องโดยใช้แผ่นบูต DOS แล้วเปลี่ยนแผ่นดิสก์ที่มี DOS NTFS driver และทำการเอ็กซิคิวต์ driver
3. ต่อจากนั้นเปลี่ยนจากแผ่นที่เป็น driver เป็นแผ่นที่มีโปรแกรม FixFun.exe
4. ที่ A: พร้อมต์ ให้คำสั่งต่อไปนี้แล้วกด Enter

   fixfun c: > c:\funlog.txt

   ไดร์ฟ C จะถูกสแกน

5. ปล่อยให้โปรแกรมรันอาจจะใช้เวลาหลายนาที
6. ถ้าคุณมีไดร์ฟเพิ่มเติมอีกหลายไดร์ฟ และต้องการจะสแกนทีละไดร์ฟ ต้องเปลี่ยนชื่อของล็อกสำหรับแต่ละไดร์ฟ ตัวอย่างเช่น

   fixfun c: > c:\funlog1.txt
   fixfun d: > c:\funlog2.txt
   fixfun e: > c:\funlog3.txt

7. เมื่อโปรแกรม FixFun.exe สิ้นสุดการทำงานแล้ว ให้พิมพ์คำสั่งต่อไปนี้แล้วกดปุ่ม Enter

   type c:\funlog.txt

   หมายเหตุ: จำนวนไฟล์ที่ถูกไวรัสฝังตัวจะต้องเท่ากับจำนวนไฟล์ที่ถูกซ่อมแซม ให้ตรวจสอบล็อกไฟล์อย่างระมัดระวังเพราะล็อกจะแสดงไฟล์ที่ไม่สามารถซ่อมแซมได้ วิธีแก้ไขคือให้หาไฟล์นั้นที่ไม่ได้ถูกไวรัสฝังตัวมาแทนที่ก่อนที่จะรีบูตครั้งต่อไป

8. ทำซ้ำข้อ 7 สำหรับไดร์ฟเพิ่มเติมที่คุณสแกนโดยเปลี่ยนชื่อของล็อกไฟล์ที่ถูกสร้างไว้สำหรับแต่ละไดร์ฟ ตัวอย่างเช่น

type c:\funlog1.txt
type c:\funlog2.txt
type c:\funlog3.txt

หมายเหตุ: จำนวนไฟล์ที่ถูกไวรัสฝังตัวจะต้องเท่ากับจำนวนไฟล์ที่ถูกซ่อมแซม ให้ตรวจสอบล็อกไฟล์อย่างระมัดระวังเพราะล็อกจะแสดงไฟล์ที่ไม่สามารถซ่อมแซมได้ วิธีแก้ไขคือให้หาไฟล์นั้นที่ไม่ได้ถูกไวรัสฝังตัวมาแทนที่ก่อนที่จะรีบูตครั้งต่อไป

9. รีสตาร์ทเครื่อง ก็เป็นอันเสร็จวิธีการกำจัดไวรัส W32.FunLove.4099

การกำจัดไวรัส W32.FunLove.4099 ด้วยมือ

Windows 95/98/Me

1. ทำการ Update virus definition ล่าสุด ของโปรแกรม Anti Virus ที่ติดตั้งไว้แล้ว
2. ทำการสแกนตรวจหาไวรัสทุกไฟล์ทั้งระบบ
3. ทำการค้นหาไฟล์ที่ชื่อ "flcss.exe" โดยคลิ้กปุ่ม Start (อยู่ที่มุมซ้ายมือด้านล่างของคุณ) เลือกที่ Find และคลิ้กที่ Files or Folders จากนั้นจะมี dialog box ที่ชื่อว่า Find All Files ปรากฏขึ้นมา
4. ทำการเลือกไดร์ฟที่ติดตั้ง Windows ในช่อง Look in โดยส่วนใหญ่จะเลือกที่ไดร์ฟ C:
5. จากนั้นในช่อง Named ทำการพิมพ์ชื่อไฟล์ที่ต้องการค้นหาคือคำว่า flcss.exe แล้วคลิ้ก Find Now
6. ถ้าพบไฟล์ Flcss.exe แล้วคลิ้กขวาที่ไฟล์ดังกล่าวที่ช่องผลลัพธ์ของการค้นหา คลิ้ก Delete และคลิ้ก Yes เพื่อยืนยันที่จะลบไฟล์ดังกล่าว
7. ปิด dialog box ที่ชื่อ Find All Files

หมายเหตุ : ถ้าไม่สามารถลบไฟล์ที่ติดไวรัส W32.FunLove.4099 ให้คุณทำการ restart Windows เข้าสู่ระบบ Safe Mode เพื่อทำการลบ virus โดยการตามขั้นตอนดังนี้                      

Windows 95

1.   คลิ้ก Start และคลิ้ก Shut down และจะปรากฏ dialog box ชื่อ Shut Down Windows
2.   คลิ้ก Restart แล้วคลิ้ก Yes
3.   เมื่อคุณเห็นข้อความที่ว่า "Starting Windows 95" ให้กดปุ่ม F8 (ซึ่งเป็นปุ่มแถวบนสุด)
4.  พิมพ์หมายเลขสำหรับ Safe Mode แล้วกดปุ่ม Enter
5.  ทำการสแกนไวรัสทั้งระบบของคุณ โดยใช้โปรแกรม Anti virus ที่ติดตั้งไว้แล้ว
6.  ทำซ้ำตามขั้นตอนที่ 3 - 7 ในส่วนก่อนหน้านี้ เพื่อค้นหาและลบไฟล์ที่ชื่อ Flcss.exe

Windows 98

1. คลิ้ก Start และคลิ้ก Shut down และจะปรากฏ dialog box ชื่อ Shut Down Windows
2. คลิ้ก Restart แล้วคลิ้ก OK
3. แล้วกดปุ่ม Ctrl ค้างไว้ทันที
4. พิมพ์หมายเลขสำหรับ Safe Mode แล้วกดปุ่ม Enter
5. ทำการสแกนไวรัส ทั้งระบบของคุณ โดยใช้โปรแกรม Anti virus ที่ติดตั้งไว้แล้ว
6. ทำซ้ำตามขั้นตอนที่ 3 - 7 ในส่วนก่อนหน้านี้ เพื่อค้นหาและลบไฟล์ที่ชื่อ Flcss.exe

ไวรัสตัวนี้สามารถฝังตัวเองกับไฟล์นามสกุล .exe ถ้าหากว่ามันฝังตัวกับไฟล์โปรแกรมของ Windows เช่น Explorer.exe แล้ว Windows ไม่สามารถทำงานได้อย่างถูกต้อง วิธีแก้ไขคือให้นำไฟล์ .exe ดังกล่าวมาแทนที่ไฟล์ .exe เดิม ให้ดูรายละเอียดของวิธีที่จะแทนที่ไฟล์ที่ documents ของ Windows              

ข้อมูลอ้างอิง

• http://securityresponse.symantec.com/avcenter/venc/data/w32.funlove.4099.html
• http://vil.mcafee.com/dispVirus.asp?virus_k=10419
• http://www.antivirus.com/vinfo/virusencyclo/default5.asp?VName=PE_FUNLOVE.4099  

เผยแพร่โดย ThaiCERT เมื่อ 23 เมษายน 2545 15.00
ปรับปรุงล่าสุดโดย ThaiCERT เมื่อ 24 เมษายน 2545 12.00

หากท่านพบเห็นข้อผิดพลาดหรือมีคำแนะนำ โปรดส่งข้อความของท่านมาที่ thaicert@nectec.or.th ท่านสามารถดาวน์โหลด PGP Public Key ของ ThaiCERT ได้ ในกรณีที่ต้องการเข้ารหัสอี-เมล์