WIN32.FunLove.4099病毒是在99年9月被发现，不过最近又要杀“回马枪”，本文只是提醒您不要忽视已经出现的病毒，一不留神，它们也会“死灰复燃”的。

    FunLove是驻留内存的Win32 病毒，该病毒既没有加密又不具有多态性。它感染本地和网络中的PE EXE文件。病毒本身就是只具有'.code'部分的PE 可执行文件。

    当染毒的文件被运行时，该病毒将在Windows system目录下创建FLCSS.EXE文件，在其中只写入纯代码部分，并运行这个生成的文件。这个文件就变成病毒“点滴器”（“dropper”）——在WIN 9X系统中，它（“点滴器”）将由被作为隐含的Windows 应用程序启动，而WIN NT 中将被作为一个服务启动。

    万一在创建FLCSS.EXE文件的时候发生错误，病毒将从染毒的主机文件中运行传染模块。该传染模块被作为独立的线程在后台运行，主机程序在执行时几乎没有可察觉的延时。

    传染模块将扫描本地从 C: to Z:的所有驱动器，然后搜索网络资源，扫描网络中的子目录树并感染具有.OCX, .SCR和.EXE扩展名的PE文件。当感染一个文件时，该病毒将其代码写到那个文件的尾部——文件的最后部分并且添加启动程序（8字节长的代码）将控制权传递给病毒体。当被激活，病毒将首先恢复这8字节的代码然后运行它的主程序。

    只有在当前染毒的工作站用户具有对网络资源写访问权利的时候病毒才能感染其中的PE文件，这样就在相当程度上限制了病毒的传播。

    病毒在感染的时候检查文件名，它不感染以下列4个字母开始的文件：ALER AMON _AVP AVP3 AVPM F-PR NAVW SCAN SMSS DDHE DPLA MPLA，这个病毒类似Bolzano病毒那样修补NTLDR和WINNT\System32\ntoskrnl.exe文件。被修补的文件不可以恢复只能通过备份来恢复。

   该病毒不具有任何有效载体，它包含下列文本：
   ~Fun Loving Criminal~

                     
          
    该文本被放置在'This program cannot be run in DOS mode.'的位置。当病毒“点滴器”从DOS启动时它将输出消息并重启系统。