Questo worm dei computer è una sorta di programma virus che per diffondersi
non infetta dei file ma invece usa come vettore
le e-mail spedite via Internet, inserendo in allegato alle e-mail una
copia di se stesso.
Il worm arriva agli utenti come allegato alle e-mail, nella forma di
un file eseguibile con il nome HAPPY99.EXE.
Nel corso dell'esecuzione, il worm si installa nel computer,
intercettando delle chiamate di sistema che gli consentono
di monitorare l'invio di e-mail su Internet; quindi converte una
copia di se stesso come allegato binario alle e-mail che
vengono spedite.
Quando si installa, il worm modifica soltanto dei file che risiedono
nella cartella di sistema di Windows. In tale cartella
crea i file SKA.EXE e SKA.DLL,
copia il file WSOCK32.DLL nel file
WSOCK32.SKA e modifica la libreria
originale WSOCK32.DLL allo scopo di intercettare l'invio di e-mail.
Se il worm viene identificato sul proprio sistema, la sua
eliminazione è semplice e non costituisce un problema. Basta
cancellare i file SKA.EXE e SKA.DLL dalla cartella di sistema. E'
anche necessario ripristinare il file originale
WSOCK32.DLL, cancellando il file WSOCK32.DLL modificato dal worm e
quindi rinominando il file
WSOCK32.SKA in WSOCK32.DLL. Anche il file HAPPY99.EXE dovrebbe essere
localizzato e cancellato.
Per proteggere il proprio computer da una nuova, possibile infezione
da parte del worm è sufficiente impostare gli
attributi di sola lettura del file WSOCK32.DLL. Il worm, infatti, non
prevede alcuna gestione dell'attributo di sola
lettura e quando tenta di modificare un file WSOCK32.DLL che possiede
tale attributo fallisce nell'operazione.
Il worm si presenta come un file di nome HAPPY99.EXE, lungo
esattamente 10.000 byte.
A causa di errore di
programma (bug), sotto Windows NT non è capace di diffondersi
cosa che non succede però con Win95/98...
Il worm contiene delle stringhe di testo, alcune delle quali si
presentano in forma cifrata:
Is it a virus, a worm, a trojan? MOUT-MOUT Hybrid (c) Spanska 1999.
Happy New Year 1999 !!
begin 644 Happy99.exe end
\Ska.exe \liste.ska
\wsock32.dll \Ska.dll \Ska.exe
Quando il file HAPPY99.EXE viene eseguito, il worm copia se stesso
nella cartella di sistema di Windows con il
nome SKA.EXE e crea nella stessa cartella il file SKA.DLL.
Quest'ultimo file è conservato in forma cifrata e
compressa all'interno del file HAPPY99.EXE.
Il worm duplica il file WSOCK32.DLL, usando il nome WSOCK32.SKA e
quindi modifica il file WSOCK32.DLL
originale. Se il file WSOCK32.DLL è in uso da parte di qualche
applicativo e non può essere aperto in scrittura, il
worm crea una nuova chiave nel Registro di sistema allo scopo di far
eseguire automaticamente il file SKA.EXE al
prossimo riavvio di Windows:
La modifica effettuata all'interno del file WSOCK32.DLL consiste
nella creazione di una routine di inizializzazione e
nella redirezione di due funzioni esportate dalla libreria dinamica.
