感染被害の報告件数が減少したことから、危険度を「4」から「3」に変更しました。

W32.FunLove.4099は、Windows 9xとWindows NT上で繁殖するWin32ウイルスです。このウイルスは拡張子がEXE、SCR、OCXのアプリケーションに感染します。このウイルスの注目すべき特徴は、Windows NTファイルセキュリティシステムの攻撃に新しい手法を使い、Windows NTシステム上ではサービスとして動作するという点です。

種別: ウイルス

感染サイズ: 4099バイト

対応日(Intelligent Updater)* 99/11/11(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 1000以上 報告件数: 10以上 地域感染度: 高 対処レベル: 高 駆除: 普通

危険性評価グラフ 被害状況: 中 ダメージ: 中 感染力: 高

ダメージ

• 発症のタイミング: 感染しているファイルが実行された時。C:\Windows\Systemにflcc.exeを投下し、通常プロセスとして動作する。
  
• 発病症状:
  • ファイル改ざん: 拡張子が.exe、.scr、.ocxのWin32ファイル
    
  • パフォーマンス低下: Windowsアプリケーションを破壊する。
    
  • システムの不安定化: システムの処理速度が低下し、クラッシュすることもある。
    

感染力

• 共有ドライブ: NTのサービスとして動作し、ローカルドライブ上で増殖する。
  
• 感染対象: 拡張子が.exe、.scr、.ocxのWin32ファイル
  

W32.FunLove.4099に感染しているアプリケーションが実行されると、W32.FunLove.4099はWindowsのシステムディレクトリ（Windows 95/98/Me上では\Windows\Systemフォルダ、Windows NT上では\Winnt\System32フォルダ）にflcss.exeというプログラムファイルを作成します。flcss.exe (4608バイト)がWindows NTマシンのハードディスクに書き込まれた場合、それをサービスとして実行します。サービスが何らかの理由で実行できなかった場合、感染しているアプリケーションの中にスレッドを作成し、ローカルドライブまたはネットワークドライブ上にある拡張子がEXE、SCR、OCXのPE（Portable Executable）ファイルを探して感染します。このスレッドはその後、感染したプロセス内部で実行され、制御はアプリケーションのメインスレッドに渡されます。この間、処理速度はさほど低下しないため、ユーザは感染に気づきません。ウイルスがFLCという名前で自分自身の実行に成功すると、このウイルスに感染している他のプログラムがflcss.exeファイルを挿入しようとしますが、感染スレッドを新たに作成することはありません。W32.FunLove.4099は、Windows NTのサービスとして動作するウイルスとしては2番目に古いものです。

機能面で酷似しているウイルスとしてはWNT.RemEx.A (W32.RemoteExplorer) の存在が確認されていますが、WNT.RemEx.Aとは異なり、W32.Funlove.4099はWindows 95/98とWindows NTの両方で動作することから、WNT.RemEx.Aよりも出来が良いと言われています。このウイルスはサービスとして動作した場合、ユーザがコンピュータにログオンしていないときでもローカルドライブ上で増殖することができます。つまり、このウイルスはログオン後は普通アクセスできないようなファイルにも感染することが可能です（たとえば、Windows NT上のexplorer.exeに感染することができます）。

Windows 95/98上では、感染しているプログラムはflcss.exeをシステムフォルダにコピーし、それを通常のプロセスとして実行しようとします。プロセスが実行できない場合は、感染しているホストプログラム内部の感染スレッドの実行を試みます。

このウイルスはさらに、Windows NTのファイルセキュリティシステムを攻撃します。ウイルスがこの攻撃を行うためには、標的となったコンピュータに初めて潜入するときにWindows NT ServerまたはWindows NT Workstationが管理者権限でログオンされていることが必要条件となります。ユーザが管理者権限または同等の権限でログオンすると、W32.FunLove.4099はntoskrnl.exe（WINNT\SYSTEM32ディレクトリにあるWindow NTカーネル）に変更を行う機会を獲得します。このウイルスはntoskrnl.exeの一部であるSeAccessCheckというセキュリティAPIの2バイトのみを改変することによって、改変されたカーネルからマシンが以後起動された時に、セキュリティ設定とは無関係に全てのユーザがどのファイルにも自在にアクセスできるようにします。

これは、ゲスト（システムに対して与えられている権限が最も低いレベル）としてログオンした場合でも、通常は管理者以外のユーザがアクセスできないようなファイルも含め、あらゆるファイルの表示や変更を行うことが可能になります。その結果、特定のマシンに設定されているアクセス制限とは無関係に、ウイルスがどこにでも増殖することができるようになるため、セキュリティ上の問題となります。さらに、攻撃を受けたコンピュータ上のあらゆるデータをどんなユーザでも改変可能になり、全くの無防備状態になってしまいます。

残念ながら、ntoskrnl.exeの整合性のチェックは1箇所でしか行われません。ntldrというローダは、マシンを起動したときにntoskrnl.exeを物理メモリに読み込むときにこのファイルを検査する仕様になっています。カーネルが壊れている場合、ntldrはntoskrnl.exeの読み込みを停止し、ブルースクリーンが表示される前にエラーメッセージを表示します。この問題を回避するために、W32.FunLove.4099は、このエラーメッセージが表示されないようにし、また、ntldrに対しても、チェックサムがオリジナルと一致しない場合でもWindows NTが起動するように変更を行います。

ntldr自身の整合性をチェックするコードは存在しないため、改変されたカーネルがロードされてもユーザはそのことに気づきません。ntldrには、隠しファイルとシステム読み取り専用属性が設定されているため、 W32.FunLove.4099は改変操作を行う前にntldrのファイル属性を「アーカイブ」に変更します（ntdlr改変後も、このウイルスはntdlrの属性を元に戻しません）。FunLoveはローカルドライブとネットワークドライブの両方に感染する能力を持っています。このウイルスは、マッピングされているネットワークドライブを調べ、そこにあるPEファイルにも感染し、さらに、前述したntoskrnl.exe/ntldrの改変操作をネットワークドライブ上でも行います。ユーザが管理者権限または同等の権限でWindows NTのシステムドライブをマッピングするたびに、ウイルスはネットワークを通じて、そのマシンのカーネルとローダーコンポーネントを改変します。

ntoskrnl.exeとntldrの改変操作には、Bolzanoウイルスのルーチンが採用されています。ウイルスコードの50%以上はBolzanoウイルスと酷似していることから、どちらも同一人物により作成されたと思われます。


FunLoveがシステム上にマッピングドライブを特定する方法

FunLoveは、WNetEnumResourceAというWindowsの関数呼び出しを使ってシステム上に存在するマッピングドライブを特定します。この関数の詳細については、Microsoft Developer Networkのドキュメントをご覧ください。


Flcss.exeがシステム上に実際にはコピーされていなくても、改変されたNtoskrnl.exeがネットワークを通じて感染する可能性は？

このワームは、WNetEnumResourceAを呼び出すことによって、発見したネットワークドライブすべてに感染します。そのドライブが書き込み可能である限り、FunLoveはFlcss.exeをシステム上にコピーできなかった場合でもネットワークを通じてそのドライブ上にあるNtoskrnl.exeを改変します。FunLoveは実際にはNtoskrnl.exeに感染するのではなく、そのファイルのセキュリティ機能を改変します。このウイルスの影響を受けたコンピュータが再起動されたとき、改変されたNtoskrnl.exeとNtldrがメモリに読み込まれ、そのコンピュータは無防備な状態に陥ります。


感染しないファイル

このウイルスは、ファイル名が次の文字列で始まるファイルには感染しません。

aler
amon
avp
avp3
avpm
f-pr
navw
scan
smss
ddhe
dpla
mpla


上記の文字列は、アンチウイルスプログラムや一部のアプリケーションのファイル名の先頭に含まれます。

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

W32.FunLove.4099ウイルスの駆除手順は、ご使用のオペレーティングシステムにより異なります。


Windows 95/98/Meをご使用の場合
Symantec Security Response では W32.FunLove.4099 用の無償駆除ツールを配布しております。このツールの入手と使用方法については、こちらをご覧ください。

手動による駆除を行う場合は、以下の手順にしたがってください。

W32.FunLove.4099によってハードドライブ上に配置されたFlcss.exeファイルを削除するには：

1. LiveUpdateを実行し、ウイルス定義を最新版に更新します。
   
2. すべてのファイルがスキャン対象として設定されているか確認し、システム全体のスキャンを実行します。ウイルスが検出され、処理方法を選択するよう促すメッセージが表示された場合、[検疫]をクリックします。
   
3. [スタート]ボタンを押し、[検索]-[ファイルやフォルダ]をクリックします。[検索:条件＝すべてのファイル]ダイアログボックスが表示されます。
   
4. [探す場所]ボックスで、Windowsがインストールされているドライブを選択します。
   
5. [名前]ボックスに、flcss.exeと入力し、[検索]をクリックします。
   
6. flcss.exeファイルが見つかった場合、結果ウィンドウ内でそのファイルを右クリックし、[削除]をクリックし、削除の確認メッセージが表示されたら[はい]をクリックして削除を確定します。
   
7. [検索:条件＝すべてのファイル]ダイアログボックスを閉じます。
   

注意：

• 上記の手順実行後に再びW32.FunLove.4099に感染した場合、ウイルスを駆除するためにはWindowsをセーフモードで起動する必要があります。ご使用のWindowsバージョンに応じた手順にしたがってください。
  
  
  • Windows 95
    
  1. [スタート]-[Windowsの終了]をクリックします。[Windowsの終了]ダイアログボックスが表示されます。
     
  2. [コンピュータを再起動する]をクリックし、[はい]をクリックします。
     
  3. "Starting Windows 95" メッセージが表示されたらすぐにF8キーを押します。
     
  4. Safe Mode（セーフモード）に該当する番号を選択し、Enterキーを押します。
     
  5. NAVを開き、すべてのファイルがスキャン対象として設定されているか確認し、システム全体のスキャンを実行します。
     
  6. 前述のセクションの手順3〜7を行ってFlcs.exeファイルを検索して削除します。
     
     
  • Windows 98
    
    1. [スタート]-[Windowsの終了]をクリックします。[Windowsの終了]ダイアログボックスが表示されます。
       
    2. [再起動する]をクリックし、[OK]をクリックします。
       
    3. すぐにCtrlキーを押したままにします。
       
    4. Safe Mode（セーフモード）に該当する番号を選択し、Enterキーを押します。
       
    5. NAVを開き、すべてのファイルがスキャン対象として設定されているか確認し、システム全体のスキャンを実行します。
       
    6. 前述のセクションの手順3〜7を行ってFlcs.exeファイルを検索して削除します。
       
       
• NAVがFlcss.exeファイルを検出してそれを検疫場所に配置した場合、それを検疫場所に残したままにするか（そのファイルの実行を防止できます）、あるいは、それを削除してください。検疫場所からファイルを削除するには、ご使用のNAVのバージョンに応じた手順にしたがってください。
  
  
  • NAV 5.0
    
    1. NAVを起動し、[検疫]をクリックします。
       
    2. [検疫]ウィンドウ画面右側から、削除したいファイルをクリックし、[項目の削除]をクリックします。
       
    3. [検疫]ウィンドウを閉じます。
       
       
  • NAV 2000
    
    1. NAVを開き、[レポート]をクリックします。
       
    2. [検疫場所の項目を表示して管理します。]をダブルクリックします。
       
    3. [検疫]ウィンドウ画面右側から、削除したいファイルをクリックし、[項目の削除]をクリックします。
       
    4. [検疫]ウィンドウを閉じます。
       
       
• FunLoveウイルスは.exeファイルに感染します。Explorer.exeなどのWindowsプログラムファイルがこのウイルスに感染した場合、Windowsが動作しなくなる可能性があります。その場合、.exeファイルを感染していないバックアップで置き換える必要があります。詳しくはWindowsのマニュアルをご覧ください。
  
  

Windows NTをご使用の場合
Symantec Security Response では W32.FunLove.4099 用の無償駆除ツールを配布しております。このツールの入手と使用方法については、こちらをご覧ください。


再感染した場合の対処方法
前述の手順を実行したにもかかわらず、FunLoveウイルスに再び感染したという報告が一部のユーザから寄せられています。その場合は、以下の手順にしたがい、救済ディスクを使ってウイルスを駆除する必要があります。

1. [スタート]-[Windowsの終了]をクリックし、[電源を切れる状態にする]を選択し、[はい]または[OK]をクリックしてWindowsを終了します。
   
2. コンピュータの電源を切り、30秒間待ちます。ウイルスをメモリから除去するためには、必ずコンピュータの電源を切る必要があります。リセットボタンは使用しないでください。
   
3. 緊急ディスクをAドライブに挿入し、コンピュータの電源を入れます。
   
4. メッセージが表示されたら任意のキーを押し、画面上に表示される指示にしたがって、救済ディスクからシステムスキャンを実行します。以下のうち、ご使用の救済ディスクのバージョンに応じた手順にしたがってください。
   
   
   • Norton System Works 救済ディスク
     
     1. Norton AntiVirusを選択します。
        
     2. 画面下部から次のテキスト行を探します。
        
        navdx c:\ m+ /b+ /repair /cfg:a:\
        
        
     3. このテキストを次のテキストで置き換え、Enterキーを押します。
        
        navdx c: /doallfiles /repair
        
        
     4. 処理が完了したら、救済ディスクを取り出し、その後、コンピュータを再起動します。
        
        
   • Norton AntiVirus救済ディスク
     
     1. Ctrl+Cを押します。
        
     2. 次のコマンドを入力し、Enterキーを押します。
        
        navdx c: /doallfiles /repair
        
        
     3. 処理が完了したら、救済ディスクを取り出し、その後、コンピュータを再起動します。
        

注意：Explorer.exeおよびFlcss.exeファイルがNAVの除外リストに追加されていたことが理由で救済ディスク使用後に再感染したというケースも報告されています。除外リストにこれらのファイルが含まれているかどうかを確認するには、次の手順にしたがってください。

1. NAVを開き、[オプション]をクリックします。
   
2. [除外]をクリックします。
   
3. 表示されるリストにExplorer.exeやFlcss.exe等の疑わしいファイルが含まれているか確認します。このリストに表示されているファイル項目はすべてNAVのスキャン対象から除外されます。
   
4. 該当するファイルを発見した場合は、その項目を選択し、[除外]をクリックします。このとき、"*.vi?"　項目を削除しないよう注意してください。
   
5. [OK]をクリックし、その後、NAVを閉じます。
   
   

追加情報：

修復に関する追加情報

ほとんどの場合、Norton AntiVirus(NAV)は、W32.FunLove.4099に感染したファイルを修復することができます。

• 2000年10月10日よりも前のウイルス定義ファイルは、4099バイトのウイルスコードを0（ゼロ）で書き換えることで感染ファイルを修復します。したがって、修復後のファイルは、感染前よりも4099バイト大きくなります。
  
  
• 2000年10月10日以降のウイルス定義ファイルは、W32.FunLove.4099に感染したファイルにワクチンを接種することによって、再感染を防ぎます。FunLoveは、ファイルに感染する際、最初にそのファイルがすでに感染済みかどうかをチェックします。（これは、多くのウイルスによく見られる動作で、ウイルスは感染対象のファイルが感染済みかどうかを判定するためのアルゴリズムを用います。）このウイルスは、感染対象のフィルのファイルサイズを256バイトで割り算し、余りが3になった場合、 そのファイルはすでに感染済みと判断し、そのファイルには感染しません。
  
  2000年10月10日以降のウイルス定義によってFunLoveウイルスが検出された場合、感染ファイルからウイルスコードが削除されます。その後、再感染予防措置として、ファイルの末尾に余分なバイトデータを追加することによって、FunLoveが再びそのファイルにアクセスした場合でもそのファイルをすでに感染済みと判断して感染しないようなファイルサイズに変更します。
  
  

DEC Alpha コンピュータご使用の皆様へ
W32.Funlove.4099は、WintelコンピュータからAlphaコンピュータ上に感染ファイルが配置されない限り、Alphaコンピュータ上のファイルには感染することができません。Alphaプラットフォーム上の感染ファイルをクリーンな状態に戻すには、ネットワークとの接続を切ってWintelコンピュータから隔離し、その後、オン・デマンド スキャンを実行してください。