揭开Happy99的真面目
梅 湘
最近,一些网络用户莫名其妙地发不出去E-mail文件,或收到一种名为Happy99.exe的程序,一不小心执行后,出现一幅放礼花的画面,其实这只是烟雾,你的机器已经中计了。专家警告:有的反病毒软件没弄清原理,只删掉Ska.exe是不能恢复E-mail的正常发送的。
Happy99的有关特性如下:
1.文件长度:10000字节。
2.它是一个32位的E-mail及程序组网络蠕虫程序。当第一次以Happy99.exe文件执行时,它会表现为一幅放礼花的图像,通常该程序会以邮件的附件形式传递开来,或者从一些程序组中下载而来。
3.首次执行Happy99.exe,它会在Windows的系统目录下建立Ska.exe及Ska.dll两个文件,Ska.exe是Happy99.exe的拷贝,Ska.dll被压缩在Ska.exe文件中。此后,Ska将系统目录下的文件Wsock32.dll复制一份为Wsock32.ska,接着,给原Wsock32.dll加“补丁”:只改动两个函数:Connect(连接),Send(发送邮件),将这两个函数的入口地址改为新的Ska.exe自己的功能调用。因此,如果使用Wsock32.dll,Ska.exe将修改注册表中的RunOnce项,以便下次启动计算机时执行Ska.exe文件(如果仅仅执行Ska.exe,不会显示礼花的图像,而只会给系统的Wsock32.dll加“补丁”)。
4.由于Happy99修改了Connect和Send两个函数,所以它能很清楚地“看到”受“感染”的用户的一切网上活动,当系统调用“Connect”或“Send”函数中的任意一个时,Happy99就会装载Ska.dll(它含有两个出口函数:“news”和“mail”),它会将Ska.exe映射到内存中,然后以与用户要发送邮件相同的地址发送一份自己的副本给该接收用户,而发送用户的邮件却发不出去,接收用户收到的只有一个附件:Happy99.exe
文件。
5.Happy99在Liste.ska文件中包含了已经发送了自己副本的其接收用户的E-mail地址(以Ascii形式存放,可以用Notepad写字板文件调用查看)。
6.Happy99包含以下加密的字符串:
Is it a virus, a worm, a trojan?
MOUT-MOUT Hybrid (c) Spanska 1999.
“它是病毒,蠕虫还是特洛伊木马?”
7.由于Happy99不检查Wsock32.dll文件的属性,因此如果将其设置成“只读”,那么它将不能被“打补丁”,用户可以用“只读”来预防。