Happy99.Wormに感染したプログラムが実行されると、自分自身のインストール動作を隠すために"Happy New Year 1999 !!"というタイトルのウィンドウを開いて、花火を表示します。このワームは、感染したコンピュータがオンライン状態になると、他のユーザに自分自身を送りつけます。

別名: Trojan.Happy99, I-Worm.Happy, W32.Ska, Happy00

種別: ワーム

感染サイズ: 10,000バイト

対応日(Intelligent Updater)* 99/01/28(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 1000以上 報告件数: 10以上 地域感染度: 高 対処レベル: 高 駆除: 普通

危険性評価グラフ 被害状況: 高 ダメージ: 低 感染力: 高

ダメージ

• 発症のタイミング: オンライン接続時に増殖活動を開始する。
  
• 発病症状: 感染したシステムから電子メールが送信されたり、ニュースグループにメッセージが投稿されたときに、自分自身を他のユーザに送りつける。
  
  • 大量メール送信: 電子メールが送信されたときに、happy99.exeを添付した別個の電子メールを送信する。
    
  • ファイル改ざん: WSOCK32.DLL
    

感染力

• 添付ファイル: Happy99.exe、Happy00.exe
  
• 添付ファイルのサイズ: 10,000バイト

HAPPY99.EXEはウイルスではなく、ワームプログラムです。報告によると、このプログラムはスパムメールやUSENETニュースグループへの投稿を介して届くようです。このファイルは通常、HAPPY99.EXEという名前で電子メールや投稿メッセージに添付されて配布されています。

このプログラムが実行されると、"Happy New Year 1999 !!"というタイトルのウィンドウを開き、花火を表示して、増殖活動を隠そうとします。このプログラムは自分自身をSKA.EXEとしてコピーし、それを展開してWINDOWS\SYSTEMディレクトリにSKA.DLLを作成します。また、このプログラムはWINDOWS\SYSTEMディレクトリ内のSOCK32.DLLを改変します。このとき、元のWSOCK32.DLLはWSOCK32.SKAという名前で保存されます。

WSOCK32.DLLは、Windows 95/98のインターネット接続を管轄します。このワームは、WSOCK32.DLLを、インターネット接続または送信操作が行われたときにワーム処理が実行されるように改変します。その結果、前述のオンライン接続動作が発生すると、変更されたWSOCK32.DLLがワームのSKA.DLLをロードするようになります。ロードされたSKA.DLLは、新しい電子メールまたはニュースグループへの投稿メッセージを作成し、UUENCODE形式でエンコードしたHAPPY99.EXEを添付して送信します。

ワームがWSOCK32.DLLを改変しようとしたときにWSOCK32.DLLが使用中だった場合（オンライン時など）、次のレジストリキーを追加します。

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce=SKA.EXE

これにより、Windowsの次回起動時にワームが実行されることになります。

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

Happy99.Wormの駆除ツールをダウンロードするには、こちらをクリックしてください。

手動による駆除方法

ファイル名の変更とファイルの削除は、Windowsのエクスプローラで行なってください。

1. WINDOWS\SYSTEM\SKA.EXEを削除する。
   
2. WINDOWS\SYSTEM\SKA.DLLを削除する。
   
3. WINDOWS\SYSTEM\ディレクトリにあるWSOCK32.DLLのファイル名をWSOCK32.BAKに変更する。
   
4. WINDOWS\SYSTEM\ディレクトリにあるWSOCK32.SKAのファイル名をWSOCK32.DLLに変更する。
   
5. ダウンロードしたワームファイル（通常はHAPPY99.EXE）を削除する。
   

windows\system\wsock32.dllファイルは、（ダイアルアップかLAN接続かに関係なく）インターネットに接続している間は常に使用中となるため、インターネットに接続中は手順3と手順4の作業はできません。

ダイヤルアップ接続（AOLなど）を利用している場合は、次の手順に従ってください。

1. インターネット接続を終了する。
   
2. WINDOWS\SYSTEM\SKA.EXEを削除する。
   
3. WINDOWS\SYSTEM\SKA.DLLを削除する。
   
4. WINDOWS\SYSTEM\ディレクトリで、WSOCK32.DLLをWSOCK32.BAKに名前を変更する。
   
5. WINDOWS\SYSTEM\ディレクトリで、WSOCK32.SKA to WSOCK32.DLL.に名前を変更する。
   
6. ダウンロードしたワームファイル（通常はHAPPY99.EXE）を削除する。
   

LAN経由（社内LANやケーブルモデムを使用している場合など）でインターネットに接続している場合は、次の手順に従ってください。

1. Windowsのタスクバーから、[スタート]-[Windowsの終了]-[MS-DOSモードで再起動する]をクリックする。
   
2. DOSプロンプトから、CD \windows\systemと入力する。
   
3. RENAME WSOCK32.DLL WSOCK32.BAKと入力する。
   
4. RENAME WSOCK32.SKA WSOCK32.DLLと入力する。
   
5. DEL SKA.EXEと入力する。
   
6. DEL SKA.DLLと入力する。