Vírus e cia.

Happy 99

O Happy99 é um programa não destrutivo que foi anexado em muitas mensagens de ano novo, tendo aparecido em janeiro de 1999. Entretanto, não se é infectado apenas por receber o Happy99. É preciso executá-lo para que a infecção ocorra.

A ação do happy99

Quando um anexo infectado é executado o programa mostra uma bonita janela com fogos de artifício. Nesse momento ele se instala no sistema e, sem permissão do usuário, cria dois arquivos SKA.EXE e SKA.DLL. Então, altera o WSOCK32.DLL, renomeando o arquivo original como WSOCK32.SKA.

O arquivo modificado WSOCK32.DLL tem rotinas para detectar os mail e newsgroup enviados pelo usuário. Ele passa a enviar uma cópia do arquivo SKA.EXE, renomeada como happy99.exe, para cada usuário ou newsgroup para quem tenha recebido um mail da máquina infectada.

Cada destinatário receberá o programa só uma vez daquele remetente, pois o arquivo não será enviado novamente para a mesma pessoa: o programa mantém um arquivo LISTE.SKA, que contém a lista de endereços de e-mails, para os quais já foi enviado. Se alguém já executou esse arquivo tome as medidas de desinfecção abaixo, pois a cada e-mail expedido pelocomputador infectado, uma cópia do programa será anexada, sem que o usuário saiba.

Assim sendo, como diz Renato Doctor: "A vida monótona desse "minhôco" se resume em auto-duplicação via e-mail. Ele não tem ação destrutiva conhecida".

Outros nomes do happy99

Esse programa também é conhecido por win32.ska.a, ska, wsock32.ska e ska.exe.

Procedimentos para desinfectar uma máquina que contenha o happy99

IMPORTANTE: Só execute esses procedimentos se realmente souber fazê-lo (edição de registro do Windows e uso de comandos do DOS), caso contrário recorra a alguém que tenha um bom conhecimento técnico para desinfectar o seu computador. Erros neste processo podem provocar danos sérios.

Imprima essa mensagem para, depois, poder seguir as instruções, passo a passo.

- Use a função localizar do windows, para procurar o arquivo happy99*.* Se você o achar, seu computador está infectado. Delete-o.

<>- Clique em C:/windows/system e delete os arquivos SKA.EXE e SKA.DLL
Na mesma pasta veja se existem mais dois arquivos:
WSOCK32.SKA e WSOCK32.DLL
Se ambos existirem delete o arquivo WSOCK32.DLL
Na mesma pasta renomeie o arquivo WSOCK32.SKA para WSOCK32.DLL
(Desconecte-se da Internet para conseguir deletar e renomear esses arquivos dll).

Se não for possível fazer isso pelo Windows, entre pelo DOS, como o Will explicou:
- Clique em INICIAR / DESLIGAR / REINICIAR O COMPUTADOR EM MODO MS_DOS
- aperte OK
- Na tela surgirá
C:\WINDOWS>
- escreva CD(espaço)SYSTEM (espaço é espaço mesmo)
Na tela surgirá:
C:\WINDOWS>CD SYSTEM
- aperte ENTER
Na tela surgirá:
C:\WINDOWS\SYSTEM>
- escreva DEL WSOCK32.DLL
Na tela surgirá:
C:\WINDOWS\SYSTEM>DEL WSOCK32.DLL
- aperte ENTER
- escreva REN WSOCK32.SKA WSOCK32.DLL
Na tela surgirá:
C:\WINDOWS\SYSTEM>REN WSOCK32.SKA WSOCK32.DLL
- clique em ENTER
- escreva EXIT
Na tela surgirá:
C:\WINDOWS\SYSTEM>EXIT
- aperte ENTER
E estará de volta ao Windows.

Para proteger o seu computador de novas reinfecções mude o atributo desse arquivo para "apenas para leitura". Ou seja: estando no windows explorer, clique sobre o arquivo WSOCK32.DLL com o botão direito do mouse.

No menu que aparece vá em Properties (propriedades) e em General (geral) deixe clicada as opções read only (somente para leitura) e File (arquivo).

Agora, retire a chave que o vírus talvez tenha adicionado ao seu registro:

Clique em Iniciar (Start)
Depois Executar (Run)
Digite REGEDIT na caixa de texto
clique em OK.
Assim, entrará no Editor de Registro. Abra as seguintes pastas (na janela da esquerda):
HKEY_LOCAL_MACHINE / SOFTWARE / MICROSOFT / WINDOWS / CurrentVersion / RunOnce
Agora procure na janela da direita por SKA.EXE.
Caso ele esteja lá (não é sempre que ele infecta também o Registro) é só deletar o arquivo (pressionando DEL e clicando em SIM - YES)

Remoção por meio de programas antivírus

* A AVP tem um antivírus com uma atualização - HAPPY.AVC database que permite parar o programa e proteger seu computadorcontra ataques. Procure em:
http://www.avp.com/happy/happy.html

* Também há o Protector Plus antivírus

1. Para copiar o arquivo
  a. do "site" original, acesse-o e copie o arquivo de avaliação - "Evaluation Copy" da Proland Software:
  http://www.pspl.com/trojan_info/win32/happy99.htm
  b. ou clicando-se em "Download" com o botão direito do mouse e em algo como "Save link as".


   Em qualquer um dos casos acima, escolha uma pasta em seu computador e salve o arquivo nela.
   Se não tiver acesso ao Windows Explorer, copiar o arquivo para um disquete, num computador não contaminado.
2. Localizar e dar um duplo clique no arquivo w9x.exe
3. Acompanhar o processo de instalação

Classificação do Happy99.exe

Aqui parece haver alguma confusão sobre conceitos gerais. Agora estou usando essas definições:

Vírus - o programa não consegue se duplicar a si mesmo. Precisa de um arquivo hospedeiro para se duplicar.
Worm - Não precisa de arquivo hospedeiro. Necessita ser executado para começar a funcionar. É capaz de "spreading" e infectar o pc sozinho.
Trojan - Um "cavalo de Tróia", ou seja, vai escondido junto com outro arquivo.
Assim sendo, o happy99.exe é um trojan um pouco diferente, pois tem capacidade de auto-distribuição.

Cuidados especiais

Avise os seus amigos e as pessoas para quem mandou mensagens.

Caso tenha sido infectado, procure no /WINDOWS/SYSTEM/ pelo LISTE.SKA, um arquivo ASCII, ou seja, texto puro, que pode ser aberto pelo Bloco de Notas - Notepad (que também pode ser aberto a partir do DOS, escrevendo: TYPE LISTE.SKA <ENTER>). Ele tem os endereços das mensagens enviadas depois da infecção pelo vírus. Evidentemente essas pessoas foram infectadas também.
Avise-as sobre o Happy99 e indique-lhes essa hp pra que elas aprendam a se livrar dele. 


Medidas gerais de prevenção

Há um conjunto de procedimentos gerais de prevenção contra vírus e outros programas maliciosos que sempre devem ser realizados (em qualquer computador, especialmente nos conectados à Internet).

Essas medidas podem ser resumidas assim:

1. Jamais executar um programa ou abrir um arquivo sem antes executar o antivírus sobre a pasta que o contenha.

2. Atualizar o seu antivírus constantemente (todas as semanas e até diariamente as empresas distribuem cópias gratuitas dos arquivos que atualizam a lista dos novos vírus e vacinas).

3. Desativar a opção de executar documentos diretamente do programa de correio eletrônico.

4. Jamais executar programas que não tenham sido obtidos de fontes absolutamente confiáveis.

Leia mais sobre esse assunto, clicando aqui.

Onde obter mais informações

podem ser obtidas em:

http://aqui.cade.com.br/capa/19990211/capa.htm

http://www.avp.com/happy/happy.html

http://www.datafellows.com/news/pr/eng/19990129.htm

http://www.geocities.com/SiliconValley/Heights/3652/SKA.HTM

http://www.pspl.com/trojan_info/win32/happy99.htm

http://www.symantec.com/avcenter/venc/data/happy99.worm.html

(Baseado em diversos mails, especialmente do "doctor",  Renato Abel Abrahão).


Este "site", destinado prioritariamente aos alunos de Fátima Conti,
pretende auxiliar quem esteja começando a se interessar por internet,
segue as regras da  FDL (Free Documentation Licence),
computadores e programas, estando em permanente construção.
Sugestões e comentários são bem vindos.
Se desejar colaborar, clique aqui.
Agradeço antecipadamente.

Deseja enviar essa página?

Se você usa um programa de correio eletrônico devidamente configurado e tem
um e-mail pop3, clique em "Enviar página" (abaixo) para abrir o programa.
Preencha o endereço do destinatário da mensagem.
E pode acrescentar o que quiser.
(Se não der certo, clique aqui para saber mais).

Enviar página

Se você usa webmail copie o endereço abaixo

http://www.cultura.ufpa.br/dicas/vir/vir-hap.htm

Acesse a página do seu provedor. Abra uma nova mensagem.
Cole o endereço no campo de texto.
Preencha o endereço do destinatário.
E também pode acrescentar o que quiser.

Última alteração: 20 fev 2007