zabránění vypnutí a happy99 (delsi)

Martin Slavik slavikm na avx.cz
Pondělí Duben 19 12:01:55 CEST 1999 

Hi all,
sice se to opravdu tyka tech co pouzivaji windoze, ale informaci 
neni nikdy dost. Proto posilam popis toho viru a obranu (bez uprav).
Aspon ti postizeni mohou zjistit, kam vsude ho "poslali" (liste.ska - viz text).

	Pipal

E-mailovy virus HAPPY99.EXE

Virus Happy99 (spise trojsky kun nez virus) funguje jednoduse. 
Jakmile poslete nejakou e-mailovou zpravu, posle virus zpravu
jeste jednu - na stejnou adresu, se stejnym subjektem a s prilohou 
HAPPY99.EXE. Nic netusici, duverivi prijemce pak v poklidu klikne 
na prilohu a od te doby vsechny jeho dalsi e-maily poslane kamkoli 
maji jako prilohu HAPPY99.EXE. Odesilatel pochopitelne vubec nic nevi 
o priloze. Happy99 vam proto prijde od vaseho znameho nebo z nektere vasi
konference, aniz by jeho odesilatel mel zly umysl a neco tusil.
Happy99 dosahuje geniality v sireni se porad dal a dal., proto je mozna 
nebezpecnejsi nez jine viry. Ma sice jenom 9KB, ale  nasobeno stovkami 
tisicu uzivatelu Internetu znamena dalsi zatez pro e-mailove servery, 
ktere jsou preplneny soubory kolujicimi od jednoho uzivatele k druhemu.

Zname projevy:
Kliknete-li na HAPPY99.EXE a spustite ho, instaluje se do vaseho systemu.
WSOCK32.DLL je zkopirovano do WSOCK32.SKA, pote virus ulozi nove 
wsock32.dll - tj. vlastne "instaluje sebe sama".
Tim ziska pristup k TCP/IP a stane se soucasti vaseho systemu. 
Mimo to jeste ulozi SKA.EXE a SKA.DLL do adresare WINDOWS\SYSTEM. 
Casem se jeste v temze adresari objevi LISTE.SKA - ten bude obsahovat 
vsechny e-mail adresy na ktere jste nechtene poslali HAPPY99.EXE - pouziva se 
take k tomu aby nikomu neposlal nic opakovane.

Ochrana:
Jako ochranu pred napadenim staci dodrzovat zakladni pravidlo Internetu - nikdy 
neposilat EXE soubory a nikdy neklikat na prijate EXE soubory. 
Prijate EXE soubory se proste ihned mazou a odesilatel se zada 
o poslani souboru v prijatelnem, viry nesiricim, formatu.

Postup odstraneni:
1. wsock32.ska prekopirovat na wsock32.dll
2. smazat ska.exe a ska.dll
3. podivat se do liste.ska a poslat vsem v seznamu varovani

-----Původní zpráva-----
Od:	Corp. yA (Zdenek Pizl) [SMTP:pizl na max.af.czu.cz]
Odesláno:	19. dubna 1999 10:58
Komu:	linux na linux.cz
Předmět:	Re: zabránění vypnutí a happy99

Martin Masin wrote:

>         Jestli se nepletu, tak tenhle virus se šíří tak, že přijde
> e-mailem a po otevření a spuštění se zabuduje někam do Windows (myslim,
> že si přepíše nějakou knihovnu) a pak s použitím vašeho adresáře rozesílá

takze vetsiny z nas se to asi tykat nebude (mam na mysli Wirdous) ....

Další informace o konferenci Linux