Happy99
読み方:ハッピーナインティーナイン
別名:ハッピー99,I-Worm.Happy,PE_SKA,SKA.EXE,WSOCK32.SKA
Happy99とは、1999年初頭に流行したトロイの木馬型ワームの一種である。
Happy99は主に電子メールなどを通じて自己増殖を行う。他のメールに混じって「Happy99.exe」という実行ファイルの添付された電子メールが送られる。メッセージ本文は空で、送信者は直前に受信した人物と同一であることが多い。
ユーザーが添付ファイルを開くと、Happy99のプログラムが実行される。「Happy New Year 1999!」というメッセージと花火の画像が表示され、バックグラウンドではプログラムが感染活動を開始する。まず「SKA.EXE」のファイル名で自身のコピーを作成し、それを展開してWINDOWS\SYSTEMディレクトリにSKA.DLLを作成する。同時にWINDOWS\SYSTEMディレクトリ内のSOCK32.DLLファイルを「WSOCK32.SKA」という名前のファイルで上書きする。次回Windowsが起動された時に、ワームが実行される。
Happy99に感染した状態で電子メールの送信などを行うと、感染プログラムが同じ送信先へ宛てた「Happy99.exe」付きのメールを作成する。受け取り手は、メールの送り主が知人であるという理由で無防備に添付ファイルを開いてしまうため、大きな被害を招いたとされている。感染メールはメーラーを使用せずにメールを作成するため、送り手となったユーザーに気づかれることが少ない。なお、Happy99は感染メッセージを送信した相手をリスト化してWindowsのsystemファイルに記録・管理し、同じ相手には2度送らないようになっている。
電子メールのメッセージに添付された「Happy99.exe」ファイルを開かなければ、Happy99に感染することはない。もし感染したかもしれない場合、Windowsのsystemディレクトリに「SKA.EXE」、「SKA.DLL」、「WSOCK32.SKA、の各ファイルが存在するかどうか確認することで、感染の有無を調べることができる。感染していた場合には、「SKA.EXE」「SKA.DLL」の各ファイルを削除し、Happy99がバックアップした「WSOCK32.SKA」ファイルをリネームして感染した「WSOCK32.DLL」に置き換えることで修復することができる。なお、Windowsが起動している状態では修復操作ができないので、以上の操作はMS-DOSモードで行う必要がある。
ちなみに、2000年には同様の動作で感染する「Happy00.exe」という亜種も登場している。
参照リンク
W32/Ska(Happy99)に関する情報 - (IPA)
|