Se você recebeu um arquivo chamado HAPPY99.EXE,não
o execute, mesmo que você o tenha recebido de algum amigo.Mas, se rodou esse programa,
não há grandes motivos para preocupação, não
há indícios que prejudique seu computador.
O Happy99 é um programa que foi
anexado em muitas mensagens de ano novo, tendo aparecido em janeiro de
1999. Entretanto, não se é infectado apenas por receber o
Happy99. É preciso executá-lo para que a infecção
ocorra.
A ação do happy99:
Quando um anexo infectado é executado
o programa mostra uma bonita janela com fogos de artifício. Nesse
momento ele se instala no sistema e, sem permissão do usuário,
cria dois arquivos SKA.EXE e SKA.DLL. Então, altera o WSOCK32.DLL,
renomeando o arquivo original como WSOCK32.SKA.
O arquivo modificado WSOCK32.DLL tem rotinas
para detectar os mail e newsgroup enviados pelo usuário. Ele passa
a enviar uma cópia do arquivo SKA.EXE, renomeada como happy99.exe,
para cada usuário ou newsgroup para quem tenha recebido um mail da
máquina infectada.
Cada destinatário receberá
o programa só uma vez daquele remetente, pois o arquivo não
será enviado novamente para a mesma pessoa: o programa mantém
um arquivo LISTE.SKA, que contém a lista de endereços de e-mails,
para os quais já foi enviado. Se alguém já executou
esse arquivo tome as medidas de desinfecção abaixo, pois a
cada e-mail expedido pelocomputador infectado, uma cópia do programa
será anexada, sem que o usuário saiba.
Assim sendo, como diz o Renato Doctor:
"A vida monótona desse minhôco se resume em auto-duplicação
via e-mail. Ele não tem ação destrutiva conhecida".
Outros nomes do happy99:
Esse programa também é conhecido
por win32.ska.a, ska, wsock32.ska e ska.exe.
Procedimentos para desinfectar uma máquina que contenha
o happy99:
IMPORTANTE: Só execute esses procedimentos se realmente
souber fazê-lo (edição de registro do Windows e uso
de comandos do DOS), caso contrário recorra a alguém que
tenha um bom conhecimento técnico para desinfectar o seu computador.
Erros neste processo podem provocar danos sérios.
Imprima essa mensagem para, depois, poder
seguir as instruções, passo a passo.
- Use a função localizar do windows, para procurar
o arquivo happy99*.* Se você o achar, seu computador está infectado.
Delete-o.
- Clique em C:/windows/system e delete os arquivos SKA.EXE
e SKA.DLL
Na mesma pasta veja se existem mais dois arquivos:
WSOCK32.SKA e WSOCK32.DLL
Se ambos existirem delete o arquivo WSOCK32.DLL
Na mesma pasta renomeie o arquivo WSOCK32.SKA para WSOCK32.DLL
(Desconecte-se da Internet para conseguir deletar e renomear
esses arquivos dll).
Se não for possível fazer isso pelo Windows,
entre pelo DOS, como o Will explicou:
- Vá em INICIAR / DESLIGAR / REINICIAR O COMPUTADOR
EM MODO MS_DOS
- aperte OK
- Na tela surgirá
C:\WINDOWS>
- escreva CD(espaço)SYSTEM (espaço é
espaço mesmo)
Na tela surgirá:
C:\WINDOWS>CD SYSTEM
- aperte ENTER
Na tela surgirá:
C:\WINDOWS\SYSTEM>
- escreva DEL WSOCK32.DLL
Na tela surgirá:
C:\WINDOWS\SYSTEM>DEL WSOCK32.DLL
- aperte ENTER
- escreva REN WSOCK32.SKA WSOCK32.DLL
Na tela surgirá:
C:\WINDOWS\SYSTEM>REN WSOCK32.SKA WSOCK32.DLL
- clique em ENTER
- escreva EXIT
Na tela surgirá:
C:\WINDOWS\SYSTEM>EXIT
- aperte ENTER
E estará de volta ao Windows.
Para proteger o seu computador de novas
reinfecções mude o atributo desse arquivo para "apenas para
leitura". Ou seja: estando no windows explorer, clique sobre o arquivo WSOCK32.DLL
com o botão direito do mouse.
No menu que aparece vá em Properties (propriedades)
e em General (geral) deixe clicada as opções read only (somente
para leitura) e File (arquivo).
Agora, retire a chave que o vírustalveztenha adicionado
ao seu registro:
Clique em Iniciar (Start)
Depois Executar (Run)
Digite REGEDIT na caixa de texto
clique em OK.
Assim, entrará no Editor de Registro. Abra as seguintes
pastas (na janela da esquerda):
HKEY_LOCAL_MACHINE / SOFTWARE / MICROSOFT / WINDOWS / CurrentVersion
/ RunOnce
Agora procure na janela da direita por SKA.EXE.
Caso ele esteja lá (não é sempre que
ele infecta também o Registro) é só deletar o arquivo
(pressionando DEL e clicando em SIM - YES)
Remoção por meio de programas antivírus
:
* A AVP tem um antivírus que tem uma atualização
- HAPPY.AVC database que permite parar o programa e proteger seu computadorcontra
ataques. Procure em:
http://www.avp.com/happy/happy.html
* Também há oProtector Plus antivírus
Pode-se copiar o arquivo de instalação da cópia
de avaliação - "Evaluation Copy" da Proland Software no endereço:
http://www.pspl.com/trojan_info/win32/happy99.htm
ou clicando aqui.
Classificação do Happy99.exe:
Aqui parece haver alguma confusão
sobre conceitos gerais. Agora estou usando essas definições:
Vírus - o programa não consegue se duplicar
a si mesmo. Precisa de um arquivo hospedeiro para se duplicar.
Worm - Não precisa de arquivo hospedeiro. Necessita
ser executado para começar a funcionar. É capaz de "spreading"
e infectar o pc sozinho.
Trojan - Um "cavalo de Tróia", ou seja, vai escondido
junto com outro arquivo.
Assim sendo, o happy99.exe é um trojan um pouco diferente
pois tem capacidade de auto-distribuição.
Cuidados especiais:
Avise os seus amigos e as pessoas para quem mandou mensagens.
Caso tenha sido infectado, procure no /WINDOWS/SYSTEM/
pelo LISTE.SKA, um arquivo ASCII, ou seja, texto puro, que pode ser aberto
pelo Bloco de Notas - Notepad (que também pode ser aberto a partir
do DOS, escrevendo: TYPE LISTE.SKA <ENTER>). Ele tem os endereços
das mensagens enviadas depois da infecção pelo vírus.
Evidentemente essas pessoas foram infectadas também.
Avise-as sobre o Happy99 e indique-lhes essa hp pra que elas
aprendam a se livrar dele.
Procedimentos gerais de prevenção:
Há um conjunto de procedimentos gerais de prevenção
contra vírus e outros programas maliciosos que sempre devem ser realizados
(em qualquer computador, especialmente nos conectados à Internet).
Leia mais clicando aqui.
Outras informações podem
ser obtidas em:
http://aqui.cade.com.br/capa/19990211/capa.htm
http://www.avp.com/happy/happy.html
http://www.datafellows.com/news/pr/eng/19990129.htm
http://www.geocities.com/SiliconValley/Heights/3652/SKA.HTM
http://www.pspl.com/trojan_info/win32/happy99.htm
http://www.symantec.com/avcenter/venc/data/happy99.worm.html