Extra-Blatt

Internet-Wurm: Happy99

Ein Wurm verschickt E-Mails

Seit Ende Januar 1999 ist ein Internet-Wurm unterwegs, der auf den Namen Happy99 hört. Er gelangt als Attachment (Anhang) mit dem Namen Happy99.exe (kann aber verändert worden sein) per E-Mail oder Newsgroup-Artikel auf Ihren Rechner.

Update 2000:
Es existiert inzwischen eine geringfügig modifizierte Variante namens Happy00.exe (W32/Ska2K). Bis auf eine Änderung im bezogenen Jahr ist sie identisch mit der ursprünglichen Version, wird auch von Antivirus-Programmen meist ohne Update erkannt. [Beschreibung] (engl.)

Es passiert solange nichts, bis Sie das Attachment auf die Festplatte kopieren (speichern) und die EXE-Datei aufrufen (ausführen).
Wenn Sie dies jedoch tun, spielt Happy99 eine Feuerwerksanimation auf dem Bildschirm ab. Während Sie dadurch abgelenkt sind, kopiert sich Happy99 als ska.exe in Ihr Windows/System-Verzeichnis, legt eine Datei ska.dll ab und manipuliert die Datei wsock32.dll (er legt eine Sicherheitskopie des Originals als wsock32.ska an). Gelingt dies nicht, weil die Datei wsock32.dll gerade von Windows benutzt wird und daher gesperrt ist, erzeugt er einen Registry-Eintrag, der den Patch beim nächsten Windows-Start durchführt:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce=SKA.EXE

Senden Sie nun eine E-Mail oder posten einen Beitrag in eine Newsgroup, schickt Happy99 eine zweite Nachricht hinterher, die als Attachment die Datei Happy99.exe enthält.

So verbreitet er sich weiter. Die Datei liste.ska enthält auf befallenen Systemen die E-Mail-Adressen all derer, die von diesem Rechner aus eine Kopie von Happy99.exe bekommen haben. Die mit Happy99 infizierten Mails haben eine Größe von etwa 15 kB (Happy99.exe ist genau 10.000 Bytes groß) und weisen in den normalerweise nicht angezeigten Kopfzeilen (Header) eine zusätzliche Zeile auf:

X-Spanska: Yes

Mit geeigneten Filterprogrammen können solche Mails daran erkannt und beseitigt werden.

Happy99 ist kein Virus. Er infiziert keine Dateien, Disketten oder Festplatten und manipuliert keine Daten (außer o.g. Patch). Es besteht also kein Grund, gleich die Festplatte zu formatieren oder dergleichen!

Wie werde ich Happy99 wieder los?

Wenn Ihr Rechner von Happy99 befallen ist, haben Sie eine Datei wsock32.ska auf der Festpaltte, die Sie mit der Funktion 'Extras > Suchen > Dateien/Computer...' des Explorers finden können.

Praktisch jedes aktuelle Antivirus-Programm, das etwas taugt, erkennt und entfernt Happy99. Sie sollten nur sicher sein, daß Sie Ihr Antivirus-Programm seit Anfang diesen Jahres mal wieder aktualisiert haben.

Die VHM (Virus Help Munich) stellt auf ihrer WebSite ein kostenloses Programm zur Entfernung von Happy99 bereit.

Manuelle Entfernung:
Beenden Sie Windows und starten Sie reines DOS (Windows95: drücken Sie die [F8]-Taste, während 'Windows95 wird gestartet' angezeigt wird; Windows98: halten Sie die [Strg]-Taste nach dem Neustart fest; beide: Wählen Sie nun 'Nur Eingabeaufforderung'). Notfalls tut es auch der 'abgesicherte Modus'.
Wechseln Sie nun in Ihr Windows/System-Verzeichnis (normalerweise C:\windows\system\) und benennen Sie die Datei wsock32.dll in wsock32.h99 um. Benennen Sie jetzt die Datei wsock32.ska nach wsock32.dll um. Löschen Sie nun (das können Sie jetzt auch nach einem Neustart unter Windows machen) die Dateien ska.exe, ska.dll und wsock32.h99. Heben Sie die Datei liste.ska noch auf -- falls Sie nach dem Befall noch Mails verschickt haben, stehen hier die Adressen der Personen, die Sie nun informieren sollten. Löschen Sie abschließend alle Kopien von Happy99.exe und die Mails, die diese Datei als Anhang enthalten.

Sie können Ihr System durch einen Schreibschutz für die Datei wsock32.dll vor einem Befall mit Happy99 schützen. Setzen Sie dazu das Attribut 'Nur lesen' für diese Datei.