Los virus que se difunden por Internet están de moda, en los últimos
días un gusano está afectando a gran número de usuarios en Europa.
En los últimos días los servidores de news se han visto invadidos por
un programa que bajo el nombre de Happy99.exe reúne todas las
características de un gusano. El funcionamiento de este virus recuerda
al Parvo, ya comentado anteriormente en este servicio, ya que no
necesita atacar otros ficheros para reproducir sus copias, pero es
capaz de enviarse a sí mismo como un archivo enlazado en mensajes
e-mail.
Como la mayor parte de los virus, Happy99 o SKA.A como también ha sido
bautizado, llega al usuario a través de un archivo enlazado en un
e-mail o en un grupo de noticias e infecta tan sólo si el usuario lo
ejecuta. Es en ese momento cuando el programa se activa, mostrando una
pantalla en la que se ven fuegos artificiales. Pero detrás de esas
inocentes imágenes se empieza a realizar la acción maligna. El gusano
altera el archivo «winsock32.dll», la principal librería de
comunicaciones hacia Internet.
Desde entonces, cada vez que el usuario inicia una actividad con el
correo Internet, bien sea enviando o recibiendo e-mails o de grupos de
noticias, Happy99 se autoenvía al grupo de news o al receptor del
mensaje con una copia de si mismo.
Durante la instalación el gusano se copia a sí mismo en el directorio
system de Windows con el nombre «ska.exe» y deja una librería adicional
en el mismo directorio bajo el nombre «ska.dll». Tras ello, realiza una
copia de seguridad de archivo «wsock32.dll» con el nombre de
«wsock32.ska», parcheando el archivo original.
En caso de que la librería se encuentre en uso y no pueda ser abierta
para escritura, el gusano crea la siguiente clave en el registro, que
le permite ejecutarse en el siguiente encendido:
HKEY_LOCAL_MACHINE\Software\Microsoft\ \Windows\CurrentVersion\RunOnce=SKA.EXE
El parche sobre la librería «wsock32.dll» consiste en la rutina de
inicialización y dos redireccionamientos. La rutina de inicialización
es una pequeña parte del código del gusano, tan sólo 202 bytes, y se
graba al final de la sección de código de la librería. La librería
tiene espacio para ello, por lo que su tamaño no se ve modificado.
También modifica las tablas del «wsock32.dll» de tal forma que las
funciones «connect» y «send» apuntarán a la rutina de inicialización
del gusano situada al final de la sección de código de la librería.
Cuando el usuario se conecte a Internet se activa la dll parcheada y el
gusano captura dos eventos, el de enviar y el de recibir. Happy99
monitoriza desde ese momento los puertos de correo (smtp, 25) y de
noticias (nntp, 119). Cuando se detecta actividad en uno de estos
puertos, carga la librería «ska.dll» que contiene las rutinas «mail» y
«news». Dependiendo del puerto se llama a la rutina adecuada, que
creará un nuevo mensaje, insertando una copia «uuencodeada» del
lanzador «happy99.exe» y por último lo envía a la dirección
correspondiente.
En caso de vernos afectados por este gusano, podemos eliminarlo
fácilmente del sistema. En primer lugar, se deben borrar los archivos
«ska.exe» y «ska.dll», la copia de seguridad de la librería de
comunicaciones («wsock32.ska») efectuada por el propio programa ayuda a
restaurar la configuración original, pues basta con renombrar la
extensión a dll. También se debe localizar y borrar el archivo
happy99.exe original. Por último, hay que observar la existencia de un
archivo «liste.ska», que también deberá ser borrado. Este último
contiene una lista con los servidores de noticias a los que se ha
conectado para autoenviarse.
Un truco para evitar la infección es asignar atributos de solo lectura
al archivo «wsock32.dll». Aunque también hay que recordar que siempre
se debe tener precaución ante los programas que se ejecutan.
Más información:
AVP: http://www.avp.com/happy/happy.html
Data Fellows: http://www.datafellows.com/v-descs/ska.htm
http://www.geocities.com/SiliconValley/Heights/3652/SKA.HTM
Deja un comentario