POZOR na virus HAPPY99.exe !!! POZOR
Jan Kratochvíl
joke
Støeda Bøezen 17 11:45:02 CET 2004
--
Pokud jste nekdy dostali (treba i ode mne) prazdny mail s subjectem stejnym
jako minuly, byl prazdny a obsahoval attachment Happy99.exe (cca 10k), a
jste stejni hlupaci jako ja a spustili jste ho, uspesne se vam podarilo
nainstalovat si do pocitace VIRUS W32/SKA. Pokud vim, tak nic moc nedela,
krome toho, ze za kazdym mailem ktery poslete, posle na stejnou adresu jeste
jednu zpravu se stejnym subj. obsahujici pouze tento virus jako prilohu.
Bohuzel s nim navic nektere mailery avic padaji. Z toho plyne pouceni -
nespoustej nezname exe fajly :-).
Doporucuju nejaky antivir (sam zadny nemam, takze nevim, ktery tento virus
zna).
Virus se mi podarilo odstranit i rucne:
POZOR - nedelejte to pokud si nejste jisti, ze v systemovem diru windows
(c:\windows\system nebo tak) existuje soubor wsock32.ska, jinak si smazete
dulezite dll ve windows.
restart do MS-DOSu
C:
CD \windows (nebo jiny dir kde mate windows)
CD system
DEL ska*.*
DEL wsock32.dll
REN wsock32.ska wsock32.dll
EXIT
-------
Takze happy new year :-(
-----Original Message-----
From: Juro... <juro.v@vadium.sk>
To: Multiple recipients of list <hw-news@mobil.cz>
Date: 25. ÏŠnora 1999 0:45
Subject: POZOR na virus HAPPY99.exe !!! POZOR
POZOR na virus HAPPY99.exe !!! POZOR
V nedelu som dostal v diskusnej skupine "gsm" subor: HAPPY.EXE
/10,2Kb/ ktory som samozrejme presiel AVASTOm 32 /VPS 9.98/
ten bohuzial nic nehlasil a tak som tento program spustil
samozrejme zase za plnej orchany... A nic !!!
A dnes pri posielani E-mailou mi mrzol Outlook Express -
hlasil chybu v strankovani ! Spustil som ho znovu a zase
pri odosielani E-mailou sa zablokoval. Ako som zistil
zacal posielat happy99.exe aj ked nebol pripojeny k textovym
suborom !!! Je to zaujimave, ale s tymto druhom V. som sa este
nestretol ! Gratulujem autorovi a zaroven sa ospravedlnujem
vsetkym Vam !!!
Dakujem za pochopenie ...
PS: Mozno sa mylim ze takto sa sprava teto dany program,
ale je asi lepsie upozornit ako potom aby niekto nadaval...
Vo vlastnostiach e-mailou som taktiez nezistil ziadne pripajanie suboru.
Je to v pripajani archamentou ?
Juro Presov
****************************************************************************
**********
Dotatok : niet tomu co dodat....
A tak dalej "dole" asi ste to uz citaly ale posielam to aj tak vsetkym !!!
> Odchytil ho aj McAfee VirusScan. Najdete ho na: ftp://mcafee.com/pub , su
> tam adresare WIN95 a WINNT.
> Vie niekto ako a ci na WNT4.0WS funguje.
> Nenasiel som ziaden liste.ska.
> > -----P*vodnö zpr*va-----
> > Odesl*no: 23. febru*r 1999 22:36
> > Komu: gsm@mobil.sk
> > P°edm*t: Re: POZOR NA VIRUS HAPPY99.EXE !!!
> >
> >
> > ----- Original Message -----
> > To: <gsm@mobil.sk>
> > Sent: 23. febru*r 1999 22:30
> > Subject: Re: POZOR NA VIRUS HAPPY99.EXE !!!
> > |Mislim ze by som sa mal ospravedlnit asig za ten virusz, som ani
> nefedel
> > ze
> > |to je virus. Mislim ze sa pohrabem torchu vtom a mosno najdem nejaky
> > antivir
> > |nanete, alebo nefim co
> > urcite najdes, ak dovolis, pomozem ti:
> > ak sa vam nechce manualne sa pobit s virusom, tak doporucujem
> > DATA FELLOWS
> > http://www.datafellows.com/
> >
> > popis virusu:
> > http://www.datafellows.com/news/pr/eng/19990129.htm
> >
> > odtial sa da stiahnut aj F-Secure Anti-Virus Trial version s updatom na
> > detekciu Happy99.exe
> > ja s tym nemam skusenosti, lebo som si to odstranoval manualne, ale ked
> to
> > amici doporucuju, tak preco to neskusit ...
> >
> >
> > link na obrazok:
> > http://www.datafellows.com/v-pics/happy99.gif
> > :)
> >
> >
> > sorgo
----- Original Message -----
From: Juraj Bas*r <dolnykubin@autocont.sk>
To: <gsm@mobil.sk>
Sent: 23. febru*r 1999 17:45
Subject: POZOR NA VIRUS HAPPY99.EXE !!!
|Dovliekol ho tu SoCo (pravdepodobne nechtiac) v sprave:
|
|-----Original Message-----
|From: SoCo <so_co@softhome.net>
|Date: 17. febru*r 1999 23:49
|Subject: Re: odhlasenie
|
|A co s nim ? Citajte dalej:
|wsock32.ska p°ekopörovat p°es wsock32.dll
|smazat ska.exe, ska.dll
|a podövat se do liste.ska a poslat v*em v seznamu varov*nö
takto, rad by som ocenil, keby niekto publikoval na internet original
wsock32.dll, pretoze wsock32.dll a wsock32.ska u mna boli 2 identicke subory
(zrejme virus viackrat zalohoval .dll subor a tym prepisal ten povodny tym
zavirenym).
Ja osobne mam Win98 EN a nechce sa mi na instalacnom CD prezerat vsetky .cab
subory...
Ak nemate moznost publikovat subory na internet, tak mi to prosim poslite
mailom na sorgo@cool.sk
Este k samotnemu viru:
Nasiel som u seba vsetky symptomy (ska.exe, ska.dll, wsock32 posahany) ale
nech som ten happy99.exe spustal kolkokrat, tak sa vobec nechcel pripajat k
odoslanym mailom. Pravdepodobne tomu dopomohol aj moj mailovy klientom, a to
Outlook Express 5 - 5.00.0810.800 (Beta 2)
sorgo@cool.sk
Dovliekol ho tu SoCo (pravdepodobne nechtiac) v sprave:
-----Original Message-----
From: SoCo <so_co@softhome.net>
Date: 17. febru*r 1999 23:49
Subject: Re: odhlasenie
A co s nim ? Citajte dalej:
HAPPY99.EXE je chytr˛ virus spadajöcö do kategorie Öerv*. Stejn* jako kdysi
onen b*jn˛ Worm (Öerv), i Happy99.exe dosahuje geniality v *ö°enö se po°*d
d*l a d*l. Kliknete-li si na HAPPY99.EXE a spustöte ho, postar* se o
instalaci do va*eho systÄŒmu.
WSOCK32.DLL je zkopörov*no do WSOCK32.SKA, potČ virus ulo*ö novČ
wsock32.dll - tj. vlastn* "instaluje sebe sama". Töm zösk* p°östup k TCP/IP
a stane se souÖ*stö va*eho systČmu. Mimo to je*t* ulo*ö SKA.EXE a SKA.DLL do
(zpravidla) WINDOWS\SYSTEM slo*ky. *asem se je*t* v tČm*e adres*°i objevö
LISTE.SKA - ten bude obsahovat v*echny e-mail adresy na kterČ jste necht*n*
poslali HAPPY99.EXE - pou*öv* se takČ k tomu aby nikomu neposlal nic
opakovan* (dal*ö döl rafinovanosti).
Virus pak funguje jednodu*e - jakmile po*lete n*jakou e-mail zpr*vu (nebo
n*co d*v*te do NEWS skupin), po*le virus zpr*vu je*t* jednu - na stejnou
adresu, se stejn˛m subjektem a s p°ölohou - happy99.exe. Nic netu*öcö
p°öjemce pak v poklidu klikne - nezn* toti* z*kladnö pravidlo Internetu -
nikdy neposölat EXE soubory a töm p*dem nikdy neklikat na p°ijatČ EXE
soubory. P°ijatČ EXE soubory se prost* ihned ma*ou a odesölatel se **d* o
posl*nö soubor* v p°ijatelnČm, viry ne*ö°öcöm, form*tu.
HAPPY99.EXE ned*l* nic jinČho - ale mo*n* je nebezpeÖn*j*ö ne* jinČ viry.
Necht*l bych vid*t situaci n*koho kdo chce obeslat t°eba stovku klient*.
Ka*dČmu z nich po*le je*t* navöc happy99.exe - ten m* sice jenom 9KB, ale
n*sobeno stovkou u* to znamen* dal*ö z*t** pro Internet. V USA se
happy99.exe st*l noÖnö m*rou velk˛ch ISP - jejich e-mail systČmy jsou
p°epln*ny happy99.exe kolujöcömi od jednoho u*ivatele k druhČmu.
Co tedy d*lat abyste se zbavili Happy99.exe? Pou*övat kvalitnö antivirov˛
software - nebudete se muset happy99.exe v*bec zbavovat. Norton Antivirus je
dobr˛ p°öklad. *eskČ antivirovČ programy jsou s velk˛mi otaznöky - AVG
nap°öklad nic takovČho je*t* zdaleka nezaregistroval a jak je to s dal*ömi -
nem*m tu*enö. Pokud jste ji* Happy99.exe "chytli", m**ete se ho zbavit
relativn* snadno:
wsock32.ska p°ekopörovat p°es wsock32.dll
smazat ska.exe, ska.dll
a podövat se do liste.ska a poslat v*em v seznamu varov*nö
Pro budoucnost ud*l*te nejlČpe kdy* po°ödöte kvalitnö antivirov˛ program (je
to investice tak do dvou tisöc korun) a budete velmi Öasto prov*d*t update
virovČ datab*ze (Norton AV m* p°es 21 000 vir* v aktu*lnö datab*zi).
AntivirovË› program pochopiteln* nezapome*te nainstalovat a hlavn* ponechat
aktivnö automatickou ochranu - nestaÖö pouze prov*d*t kontrolu systČmu.
Pokud toti* budete möt zapnutou aktivnö ochranu, nepovede se v*m happy99.exe
spustit - antivirov˛ program v*m v tom zabr*nö - pokud u* m*te ten bl*hov˛
n*pad spou*t*t EXE co p°i*lo z Internetu. A nezapome*te na v*echny poÖötaÖe
co m*te, doma, v pr*ci, notebook....
-Daniel DoÖekal, svet.namodro.cz
On Tue, Feb 23, 1999 at 05:54:14PM +0100, Peter Sorger wrote:
> takto, rad by som ocenil, keby niekto publikoval na internet original
> wsock32.dll, pretoze wsock32.dll a wsock32.ska u mna boli 2 identicke
subory
> (zrejme virus viackrat zalohoval .dll subor a tym prepisal ten povodny tym
> zavirenym).
Toto nepovazujem za dobry napad, lebo su rozne verzie Win95/98 v roznych
jazykoch a pre kazdu moze byt wsock32.dll trochu iny. Najlepsie je to vratit
predsa len z toho CD.
Neodpustim si ale poznamku, ze "use Linux (unix) and save your PC from Gates
of hell" :))
--
Branislav Vartik
oddelenie komunikacii
ISTROBANKA, a.s.
tel: +421 7 59397 397
Odchytil ho aj McAfee VirusScan. Najdete ho na: ftp://mcafee.com/pub , su
tam adresare WIN95 a WINNT.
Vie niekto ako a ci na WNT4.0WS funguje.
Nenasiel som ziaden liste.ska.
> -----P*vodnö zpr*va-----
> Od: Peter Sorger [SMTP:sorgo@cool.sk]
> Odesl*no: 23. febru*r 1999 22:36
> Komu: gsm@mobil.sk
> P°edm*t: Re: POZOR NA VIRUS HAPPY99.EXE !!!
>
>
> ----- Original Message -----
> From: SoCo <so_co@softhome.net>
> To: <gsm@mobil.sk>
> Sent: 23. febru*r 1999 22:30
> Subject: Re: POZOR NA VIRUS HAPPY99.EXE !!!
>
>
> |Mislim ze by som sa mal ospravedlnit asig za ten virusz, som ani nefedel
> ze
> |to je virus. Mislim ze sa pohrabem torchu vtom a mosno najdem nejaky
> antivir
> |nanete, alebo nefim co
>
> urcite najdes, ak dovolis, pomozem ti:
>
> ak sa vam nechce manualne sa pobit s virusom, tak doporucujem
> DATA FELLOWS
> http://www.datafellows.com/
>
> popis virusu:
> http://www.datafellows.com/news/pr/eng/19990129.htm
>
> odtial sa da stiahnut aj F-Secure Anti-Virus Trial version s updatom na
> detekciu Happy99.exe
> ja s tym nemam skusenosti, lebo som si to odstranoval manualne, ale ked to
> amici doporucuju, tak preco to neskusit ...
>
>
> link na obrazok:
> http://www.datafellows.com/v-pics/happy99.gif
> :)
>
>
> sorgo
Ospravedlnujem sa spravne ma byt ftp://ftp.mcafee.com/pub/antivirus
> -----P*vodnö zpr*va-----
> Od: TOM**K J*N
> Odesl*no: 24. febru*r 1999 8:33
> Komu: gsm@mobil.sk
> P°edm*t: RE: POZOR NA VIRUS HAPPY99.EXE !!!
> D*le*itost: Velk*
>
> Odchytil ho aj McAfee VirusScan. Najdete ho na: ftp://mcafee.com/pub , su
> tam adresare WIN95 a WINNT.
> Vie niekto ako a ci na WNT4.0WS funguje.
> Nenasiel som ziaden liste.ska.
> > sorgo
Dal¹í informace o konferenci Hw-list