sábado, 20 de marzo de 1999

HispaSec explica como eliminar el Happy99

En los últimos días nuestro Laboratorio está notando una amplia
difusión y propagación del gusano Happy99, del cual ya hablamos
en nuestro servicio de noticias una-al-día, por ello hemos
decidido explicar de nuevo como eliminar de nuestro ordenador
tan molesto visitante.
En HispaSec nos hicimos eco de la aparición de este gusano cuando
se descubrió hace ya casi dos meses (http://www.hispasec.com/unaaldia.asp?id=92).
Pero en la actualidad, muchos usuarios se encuentran infectados sin
saberlo y lo propagan en cada mensaje que envían, difundiendo
aun más el gusano. Diariamente nos piden información y ayuda
para eliminar Happy99 de un equipo y encontramos casos de
afectados por él. Por ello, hemos decidido retomar el tema
y explicar paso a paso como hacer frente al problema.

La mejor forma de evitar la infección es prestar atención a los
mensajes que llegan al sistema y no ejecutar ninguno de
procedencia extraña, e incluso, por mucha credibilidad que
tengamos en el remitente ningún archivo que llegue bajo el
nombre «happy99.exe». A pesar ello, si por desconocimiento o
descuido se llega a ejecutar este programa se visualizarán en
una pantalla unos efectos de fuegos artificiales felicitando
el año nuevo. Durante este proceso el programa realiza todas
las acciones necesarias para instalarse en la máquina. Por un
error de programación, Happy no se reproduce en máquinas con
Windows NT.

Happy99 no es dañino para la máquina en que se ejecuta, y el único
problema es la transmisión del programa infector por cada mail que
se envía, aunque dicha acción se realiza sin conocimiento del
usuario. Aunque no sea perjudicial, las molestias ocasionadas al
final pueden llegar a hacerse notar y se pueden evidenciar
problemas en el envío de algunos mensajes.

La mejor forma de confirmar la existencia de este gusano en nuestra
máquina pasa por buscar el fichero «ska.exe» en el directorio
system de Windows, en caso de encontrarlo el ordenador estará
infectado. Por suerte Happy99 es fácil de eliminar y puede
hacerse "a mano", sin ayuda de ninguna herramienta especial, tan
sólo seguir los pasos que vamos a indicar.

En primer lugar hay que eliminar los archivos «ska.exe» y «ska.dll»
del directorio system de windows. Tras ello hay que borrar el
fichero «wsock32.dll» del mismo directorio y renombrar el
«wsock32.ska» a «wsock32.dll», para poder efectuar esto debemos
estar desconectados de Internet. Una forma de parchear el sistema
y evitar que cualquier usuario de la máquina la infecte es cambiar
los atributos de «wsock32.dll» a solo-lectura.

Más información:
HispaSec: http://www.hispasec.com/unaaldia.asp?id=92


Antonio Ropero



No hay comentarios:

Publicar un comentario en la entrada