Tip #3: Happy99.exe il worm (una specie di virus) che si diffonde via email

Tip #3: Happy99.exe - Un virus?

Corsi: Informatica; Nuove Professioni; Professionali; Crescita; Calendario | Sommario

Tip #03

Happy99.exe: che cosa è, prevenzione, rimozione e protezione.
Happy99.exe è un worm ("verme", una specie di virus) che si sta diffondendo via email. Di seguito analizziamo che cosa è, come ci si può difendere, come rimuovere Happy99 e riportiamo alcuni link utili, tra cui i link per l'aggiornamento di alcuni dei più noti antivirus: VirusScan di McAfee e Norton AntiVirus.

Happy99.exe: che cos'è?: E' un file eseguibile con il nome HAPPY99.EXE che si sta rapidamente diffondendo via email e via newsgroup. Come? Se siete stati infettati, il programma, ogni volta che spedite una e-mail, invia subito dopo (automaticamente ed in maniera occulta) al destinatario anche una email con una copia di se stesso in allegato. L'ignaro destinatario vedendo arrivare un email da (in molti casi) una persona conosciuta e considerata affidabile, manda fiduciosa in esecuzione il programma che visualizza una finestra con fuochi di artificio e che augura un buon 1999 (da cui il nome del file). Nello stesso tempo però Happy99 si va ad inserire nel sistema del destinatario e prosegue anche da lì la sua malefica opera di diffusione.

Come evitare il contaggio di Happy99.exe: Se vi arriva una email che contiene il file Happy99.exe NON mandate in esecuzione il programma. La cosa migliore è cancellare subito l'email. Ed avvertire immediatamente il mittente: al 99,9% è una vittima innocente del worm. Notate che l'aver semplicemente ricevuto una email che contiene il file Happy99 non provoca il contaggio. Solo se eseguite il programma attivate il worm.
In realtà è buona regola non mandare MAI in esecuzione un programma ricevuto via email anche se arriva da persone conosciute ed affidabili, a meno che non si sappia esattamente di cosa si tratta. Per lo stesso motivo non attivate MAI le macro su documenti office in cui non è sufficientemenre giustificata la presenza di macro.

Prevenzione: un modo per difendersi da Happy99.exe: Per avere una maggiore sicurezza potete impostare l'attributo di sola lettura del file WSOCK32.DLL (in "windows\system"). Il worm, infatti, non è in grado di modificare un file WSOCK32.DLL che possiede tale attributo e quindi, anche se mandate inavvertitamente in esecuzione il worm, il vostro PC non viene infettato.

Quali sono i Sistemi potenzialmente in pericolo?: Il worm è in grado di infettare solo sistemi Windows 95 e 98. A causa di un bug, non è in grado di contaggiare Windows NT.
Sono completamente esclusi dai suoi effetti anche Windows 3.x, OS/2, MacOS, DOS, e qualsiasi sistema Unix

Danni provocati da Happy99: Per fortuna non provoca nessun danno diretto, nè fa nessuna azione nociva. Anche se in alcuni casi può provocare alcuni errori di sistema come indicato in questo report della Microsoft:
Microsoft: Q221486 - Invalid Page Fault in Kernel32.dll with Happy99.exe Virus
Notate comunque che non è da escludere che possano diffondersi varianti del worm, con nome uguale o diverso e con effetti molto più pericolosi.

Come controllare se si è stati contaggiati?: Dal menù START eseguite il comando TROVA - File o Cartelle. E cercate il file SKA.EXE. Se lo trovate Happy 99 ha colpito ancora!

Sei stato Contaggiato? La Cura: Il worm duplica il file WSOCK32.DLL, usando il nome WSOCK32.SKA e quindi modifica il file WSOCK32.DLL originale. Per rimuoverlo o usate un Antivirus aggiornato o, per rimuoverlo manualmente, riavviate il PC in modalità DOS ed eseguite i seguenti comandi:; cd windows\system
del ska.dll
del ska.exe
ren wsock32.dll wsock32.old
copy wsock32.ska wsock32.dll; E quindi riavviate il PC. Dopodichè è senz'altro preferibile rintracciare tutte le copie del file HAPPY99.EXE (e le email che lo contengono) ed eliminarle.

Possibile complicazione: Potrebbe capitare, se Happy99.exe viene eseguito più di una volta, che anche la copia di riserva (creata dal worm) WSOCK32.SKA contenga il virus. In questo caso è necessario trovare un copia pulita del file. Il modo più semplice è farselo dare da un amico, altrimenti è necessario estrarlo manualmente dai file di installazione di Windows. Potete trovare le istruzioni per questa operazione qui: MasterTravel Istruzioni per debellare il Virus Happy99
Importante: cosa fare dopo aver rimosso Happy99: Siete stati contagiati da Happy99? Per tutta la durata dell'"infezione" avete contribuito (involontariamente) alla sua difussione! Amici, colleghi, parenti e chiunque altro a cui avete inviato una email, può aver ricevuto anche il malefico file ed essere stato contaggiato.
Per fortuna il worm, per controllare a chi ha già inviato una copia di se stesso, crea un file chiamato LISTE.SKA (contenuto in \WINDOWS\SYSTEM, se non lo trovate cercatolo con il commando "Trova") che contiene una lista dei destinatari che hanno ricevuto il virus. E' un normale file di testo, apritelo (con Notepad, ad esempio) ed inviate un'email di avvertimento a tutti i destinatari lì indicati in modo da metterli in guardia. Può magari essere utile segnalare questa pagina, in modo tale da poterli fornire di tutte le istruzioni per la rimozione. Il link da usare è: http://www.prometheo.it/tip_happy99.htm

[07/06/99]


Aggiornamento agli antivirus, per poter effettuare la rimozione automatica
Symantec: Happy99.Worm	VirusScan di McAfee
Norton AntiVirus


Siti Italiani con ulteriori informazioni
Virus Happy99.exe
MasterTravel Istruzioni per debellare il Virus Happy99


Articoli su Repubblica.it relativi ai virus
la Repubblica-tecnologie Amichevolmente per e-mail un nuovo micidiale virus
la Repubblica-tecnologie Quelle infezioni killer nascoste in una e-mail


Siti Internazionali con ulteriori informazioni
Microsoft: Q221486 - Invalid Page Fault in Kernel32.dll with Happy99.exe Virus
Happy99.exe

I prodotti citati sono marchi e marchi registrati dei relativi produttori. Ultimo Aggiornamento: 23/06/14.

[ Home ] [ Su ] [ Successiva ]