happy99.exe - Attenti al virus delle e-mail!

Leggete con attenzione quanto segue, dato che ho ricevuto molte mail che contenevano questo virus senza che chi lo mandasse ne fosse a conoscenza.

I-Worm.Happy

Questo e' il primo, moderno Internet worm ("verme") conosciuto ad essere scoperto "in the wild" (diffuso). Questo worm dei computer e' una sorta di programma virus che per diffondersi non infetta dei file ma invece usa come vettore le e-mail spedite via Internet, inserendo in allegato alle e-mail una copia di se stesso.
Il worm e' stato spedito da qualcuno (forse lo stesso autore del worm) su diversi server di notizie (Usenet newsgroups) nel gennaio 1999; in pochi giorni si e' diffuso a macchia d'olio in Europa e continua a diffondersi rapidamente.

Il worm arriva agli utenti come allegato alle e-mail, nella forma di un file eseguibile con il nome HAPPY99.EXE. Allo scopo di dissimulare la sua vera natura, quando viene eseguito il worm mostra sullo schermo un simpatico effetto; dunque, si puo' affermare che presenta anche le caratteristiche tipiche di un cavallo di troia.
Nel corso dell'esecuzione, il worm si installa nel computer, intercettando delle chiamate di sistema che gli consentono monitorare l'invio di e-mail su Internet; quindi converte una copia di se stesso come allegato binario alle e-mail che vengono spedite. In questo modo il worm, quando e' installato nel sistema, e' capace di inviare delle copie di se stesso a tutti i destinatari delle e-mail che vengono spedite.

Quando si installa, il worm modifica soltanto dei file che risiedono nella cartella di sistema di Windows. In tale cartella crea i file SKA.EXE e SKA.DLL, copia il file WSOCK32.DLL nel file WSOCK32.SKA e modifica la librearia originale WSOCK32.DLL allo scopo di intercettare l'invio di e-mail.

Rimozione e Protezione

Se il worm viene identificato sul proprio sistema, la sua eliminazione e' semplice e non costituisce un problema. Basta cancellare i file SKA.EXE e SKA.DLL dalla cartella di sistema. E' anche necessario ripristinare il file originale WSOCK32.DLL, cancellando il file WSOCK32.DLL modificato dal worm e quindi rinominando il file WSOCK32.SKA in WSOCK32.DLL. Anche il file HAPPY99.EXE dovrebbe essere localizzato e cancellato.

Per proteggere il proprio computer da una nuova, possibile infezione da parte del worm e' sufficiente impostare gli attributi di sola lettura del file WSOCK32.DLL. Il worm, infatti, non prevede alcuna gestione dell'attributo di sola lettura e quando tenta di modificare un file WSOCK32.DLL che possiede tale attributo fallisce nell'operazione.

Alcuni consigli

Non aprire ed eseguire un eventuale file HAPPY99.EXE ricevuto in allegato ad una o piu' e-mail. Anche se questo proviene da fonti di cui si ha fiducia. E' anche necessario ricordare che i file prelevati da Internet possono sempre contenere del codice pericoloso, capace di infettare il proprio computer, compromettere dei dati, inviare informazioni confidenziali su Internet o installare dei programmi-spia capaci di monitorare il computer in remoto (backdoor). Quindi e' sempre necessario prendere delle opportune precauzioni quando si preleva ed installa del software ricevuto via e-mail.

L'apertura di documenti Office con la protezione dai virus disabilitata e l'esecuzione di programmi sono operazioni molto rischiose. E' necessario ricordare sempre questo principio ogni volta che si trova un allegato nella propria posta elettronica.

Dettagli tecnici

Il worm si presenta come un file di nome HAPPY99.EXE, lungo esattamente 10.000 byte.
Il file possiede una struttura interna del tipo Portable Executable (PE), ovvero e' un programma a 32-bit per Windows. Il worm si installa in sistemi Win95/98 e continua a diffondersi senza alcun problema. Invece, a causa di errore di programma (bug), sotto Windows NT non e' capace di diffondersi.

Il worm contiene delle stringhe di testo, alcune delle quali si presentano in forma cifrata:

Is it a virus, a worm, a trojan? MOUT-MOUT Hybrid (c) Spanska 1999.
Happy New Year 1999 !!
begin 644 Happy99.exe end
\Ska.exe \liste.ska
\wsock32.dll \Ska.dll \Ska.exe

Quando il file HAPPY99.EXE viene eseguito, il worm copia se stesso nella cartella di sistema di Windows con il nome SKA.EXE e crea nella stessa cartella il file SKA.DLL. Quest'ultimo file e' conservato in forma cifrata e compressa all'interno del file HAPPY99.EXE.

Il worm duplica il file WSOCK32.DLL, usando il nome WSOCK32.SKA e quindi modifica il file WSOCK32.DLL originale. Se il file WSOCK32.DLL e' in uso da parte di qualche applicativo e non puo' essere aperto in scrittura, il worm crea una nuova chiave nel Registro di sistema allo scopo di far eseguire automaticamente il file SKA.EXE al prossimo riavvio di Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce=SKA.EXE

La modifica effettuata all'interno del file WSOCK32.DLL consiste nella creazione di una routine di inizializzazione e nella redirezione di due funzioni esportate dalla libreria dinamica.
La routine di inizializzazione e' rappresentata da un ridotto numero di istruzioni (202 byte). Essa viene salvata alla fine del sezione di codice presente in WSOCK32.DLL (la sezione ".text"). Il file WSOCK32.DLL possiede abbastanza spazio per l'aggiunta di tale codice e dunque la grandezza della DLL non aumenta in seguito alla modifica operata dal worm. Quindi il worm modifica la "export table" della libreria WSOCK32.DLL, in modo tale che le due funzioni "connect" e "send" puntino alla routine di inizializzazione del worm, posta alla fine della sezione di codice presente nel file WSOCK32.DLL.

Quando l'utente si collega ad Internet la libreria dinamica WSOCK32.DLL viene attivata e il worm ha l'opportunita' di intercettare due eventi: connessione e invio di dati. Il worm monitorizza le porte 25 e 119, relative alla spedizione di e-mail (SMTP) e di "news" (NTTP). Quando individua una connessione attiva su una di tali porte, il worm carica in memoria la libreria dinamica SKA.DLL che esporta due funzioni: "mail" e "news". A seconda del numero di porta, il worm chiama una delle due routine, ma entrambe hanno la funzione di creare un nuovo messaggio, di inserire in allegato il worm trattato con l'algoritmo UUENCODE e quindi di spedire tale messaggio. Inoltre, il worm inserisce anche una sua particolare "firma" nell'intestazione dei messaggi "infetti":

X-Spanska: Yes

Mentre spedisce i messaggi che contengono il worm allegato, il worm memorizza l'indirizzo del ricevente nel file LISTE.SKA, anch'esso creato nella cartella di sistema di Windows. Questo file puo' contenere fino ad un massimo di 5KB di dati e fino a 200 indirizzi presso i quali sono stati spediti dei messaggi aventi il worm in allegato.

 

Per ulteriori informazioni consultate questo sito:
http://www.geocities.com/SiliconValley/Heights/3652/SKA.HTM è in inglese ma è molto chiaro. Ha anche molti link utili.

 
Torna al menu