Email-Worm.Win32.Happy

Detalles técnicos

Este es el primer gusano de Internet moderno conocido descubierto "en la naturaleza". Este gusano informático es un tipo de programa de virus que, aunque distribuye sus copias, no infecta los archivos del disco como el objetivo principal, sino que replica sus copias enviándose a sí mismo a través de Internet como un archivo adjunto en los mensajes de correo electrónico. El gusano fue publicado por alguien (tal vez por el autor del gusano) en varios servidores de noticias en enero de 1999, y luego, en pocos días, fue descubierto "en la naturaleza" en Europa y continuó propagándose.

El gusano llega como un archivo adjunto en un correo electrónico como un archivo HAPPY99.EXE. Cuando se ejecuta un archivo adjunto infectado y obtiene el control, el gusano muestra un gracioso fuego artificial en la ventana del programa para ocultar su naturaleza maliciosa. Durante esto, se instala en el sistema, engancha los envíos a Internet, convierte su código en el archivo adjunto y lo agrega a los mensajes. Como resultado, el gusano, cuando está instalado en el sistema, puede extender sus copias a todas las direcciones a las que se envían los mensajes.

Durante la instalación, el gusano solo afecta a los archivos en el directorio del sistema de Windows. Crea los archivos SKA.EXE y SKA.DLL, copia el WSOCK32.DLL en el WSOCK32.SKA recién creado y actualiza el archivo WSOCK32.DLL original para enganchar las llamadas de envío de correo electrónico.

Remoción y protección

Si el gusano se detecta en su sistema, puede deshacerse de él simplemente eliminando los archivos SKA.EXE y SKA.DLL en el directorio de Windows del sistema. También debe eliminar el archivo WSOCK32.DLL y reemplazarlo con el archivo original WSOCK32.SKA. El archivo HAPPY99.EXE original también debe ubicarse y eliminarse.

Para proteger su computadora contra reinfecciones, solo necesita configurar el atributo "Solo lectura" para el archivo WSOCK32.DLL. El gusano no presta atención al modo de solo lectura y no puede parchear el archivo. Este truco fue descubierto por Peter Szor en DataFellows (http://www.datafellows.com).

Por favor recuerde

No abra y no ejecute el archivo HAPPY99.EXE que ha recibido como archivo adjunto en ningún mensaje si lo recibe de una fuente no confiable o no confiable. También debe recordar que los archivos a los que ha accedido desde Internet pueden contener código malicioso que puede infectar su computadora, destruir datos, enviar archivos confidenciales a través de Internet o instalar programas espías para monitorear su computadora desde un host remoto.

Abrir archivos de MS Office con VirusProtection deshabilitado y ejecutar archivos ejecutables que no sean de confianza es extremadamente riesgoso. Debe tener esto en cuenta cada vez que vea un archivo adjunto a un mensaje entrante.

Detalles técnicos

El gusano llega exactamente como un archivo ejecutable HAPPY99.EXE de 10.000 bytes. Este archivo tiene la estructura interna de Win32 Portable Executable (PE). El gusano se instala en los sistemas Win95 / 98 y continúa propagándose sin problemas. En WinNT, no se puede propagar debido a errores.

El gusano contiene cadenas de texto, algunas de ellas están encriptadas:

¿Es un virus, un gusano, un troyano? MOUT-MOUT Híbrido (c) Spanska 1999.

Feliz año nuevo 1999 !!

Comience 644 Happy99.exe final

Ska.exe liste.ska

wsock32.dll Ska.dll Ska.exe

Cuando se ejecuta el archivo HAPPY99.EXE, el gusano se copia en el directorio de sistema de Windows con el nombre SKA.EXE y descarta el archivo SKA.DLL adicional en el mismo directorio. SKA.DLL se almacena en el archivo EXE principal (HAPPY99.EXE) en forma cifrada y compacta.

El gusano luego copia el WSOCK32.DLL al nombre WSOCK32.SKA (hace una "copia de seguridad") y remueve el archivo WSOCK32.DLL. Si WSOCK32.DLL está en uso y no se puede abrir para escribir, el gusano crea una nueva clave en el registro del sistema para ejecutar su cuentagotas durante el próximo reinicio:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce = SKA.EXE

El parche WSOCK32.DLL consiste en una rutina de inicialización de gusano y dos exportaciones redirigidas. La rutina de inicialización es solo una pequeña porción de código de gusano, solo 202 bytes. Se guarda al final de la sección del código WSOCK32.DLL (sección ".text"). WSOCK32.DLL tiene suficiente espacio para eso, y el tamaño de WSOCK32.DLL no aumenta durante la infección. A continuación, el gusano aplica parches a las tablas de exportación WSOCK32.DLL para que dos funciones ("conectar" y "enviar") apunten a la rutina de inicialización del gusano al final de la sección del código WSOCK32.DLL.

Cuando un usuario se conecta a Internet, se activa WSOCK32.DLL y el gusano enlaza dos eventos: conexión y envío de datos. El gusano monitorea los puertos de correo electrónico y noticias (25 y 119 – smtp y nntp). Cuando detecta una conexión en uno de estos puertos, carga su biblioteca SKA.DLL que tiene dos exportaciones: "correo" y "noticias". Dependiendo del número de puerto, el gusano llama a una de estas rutinas, pero ambas crean un nuevo mensaje, insertan el descriptor de gusano HAPPY99.EXE de UUencoded en él y lo envían a una dirección de Internet. El gusano también agrega su sello al encabezado kludge de los mensajes "infectados":

X-Spanska: Sí

Al enviar archivos adjuntos infectados, el gusano almacena las direcciones de los destinatarios en el archivo LISTE.SKA en el directorio del sistema de Windows. Este archivo de "registro" contiene hasta 5K de datos y puede contener hasta 200 direcciones a las que se enviaron los mensajes infectados.