happy99 바이러스 소동 1999

E-Mail 웜 (다른 파일을 감염시키지 않으므로 바이러스가 아니라 웜입니다) 중 하나로 다른 파일은 감염시키지 않지만 winsock.dll을 번형시켜 원래 wsock32.dll은 wsock32.ska로 만들어서 다른 사람에게 이메일을 보낼때 마다 오류를 일으키고 원래 작성해 보내려고 한 이메일에 이 happy99.exe를 첨부시켜 또 다른 감염을 일으키는 바이러스입니다;;

wsock32.ska란 이름으로 확장자만 변형시켜 원본을 만들어 놓는 점과 한번 happy99.exe 를 첨부한 주소에는 ska.txt 에 저장시켜 놓고 다시 happy99.exe 가 첨부된 메일을 보내지 않는자는 점이 이상하군요;;

1.happy99 바이러스란?

=================================================================

BRIC-Forum Korea Archive: Happy99.EXE 절대열지마세요

Happy99.EXE 절대열지마세요

제가 조금전에 endotoxin에대한 질문의 글을 올렸는데 부주의로 인하여 virus가
같이 이동되었습니다. 절대 'Happy99.exe" file은 열지 마시고 혹시
열어보신분은 아래와 같이 조치하시기 바랍니다. 정말 죄송합니다.

강태봉 (kangtb@han.ac.kr)
Thu, 20 May 1999 18:48:11 +0900

=================================================================

1. happy99란 :
다른 파일은 감염시키지 않는 웜(Worm)으로 사용자가 보낸 E-Mail에 첨부되어
자기 자신을 유포시킨다.
첨부된 HAPPY99.EXE 파일을 실행하면 폭죽이 터지는 동영상 화면이 나와 신년
축하 유틸리티로 착각하기 쉽다.

2. 증세 및 피해:
WSOCK32.DLL 파일이 변형되므로 OUT LOOK 등 E-Mail 프로그램에서 오동작이
일어날 수 있으며,
불필요한 파일이 첨부되므로 그만큼 인터넷 속도가 저하된다.

3. 해결방법 :
다른 사람에게서 온 메일 중 Happy99.exe가 첨가된 파일을 안열어 본다.
만약 열어 보았을 경우 아래와 같은 해결방법으로 처리한다.
1) Happy99.exe 파일과 System 폴더안의 SKA.EXE 와 SKA.DLL을 삭제
2) 도스로 부팅하여 System 폴더에 있는 WSOCK32.DLL 삭제 후
WSOCK32.SKA 파일의 확장자를 DLL로 이름을 변경합니다.

3) Happy99의 재감염을 막기 위해서는
WSOCK32.DLL을 읽기 전용 파일로 만들어 주면 됩니다.

[참고] 도스로 부팅 하려면..
"시작버튼->시스템종료-> MS-DOS모드에서 시스템 다시시작"으로 부팅
C: \ WINDOWS \ SYSTEM > DEL WSOCK32.DLL
C: \ WINDOWS \ SYSTEM > REN WSOCK32.SKA WSOCK32.DLL

--------------------------------------------------------------
% forum담당자에게 전하실 내용은 mailto:sujin@bric.postech.ac.kr 로 보내 주세요.
% 이 편지에 대한 reply는 forum회원모두에게 갑니다. 개인적인 메일은
% mailto:강태봉 <kangtb@han.ac.kr> 님께 따로 새 메일을 작성하여 보내시기 바랍니다.
--------------------------------------------------------------

2.happy99 바이러스 실행 장면

==============================================================

============================================================
3.happy99.exe V3 데이타베이스 검색 정보

==================================================== I-Worm/Happy99
다른이름		I-Worm/Happy99 웜, Happy99.Worm, W32/SKA.EXE, W95/H		위험도		낮음
확산위험도		미정		현재확산도		매우낮음
종류		웜		감염형태		실행파일
감염OS		미정		감염경로		미정
제작지				국내발견일		1999-02-01
검사		Y		치료		Y
치료엔진		1999.01.01.00		특정활동일		특정일 활동 없음
[증상] E-Mail로 감염되며, 첨부 파일을 실행하면 폭죽 터지는 동영상이 출력된다. [내용] -상주형 1999년 1월 인터넷 뉴스그룹을 통해 유럽지역을 중심으로 널리 확산되고 있으며, 우리 나라에서도 2월 발견된 이후 널리 확산되고 있다. HAPPY99.EXE 파일은 다른 파일은 감염시키지 않는 웜(Worm)으로 사용자가 보낸 E-Mail에 첨부되어 자기 자신을 유포시킨다. 첨부된 HAPPY99.EXE 파일을 실행하면 폭죽이 터지는 동영상 화면이 나와 신년 축하 유틸리티로 착각하기 쉽다. 그 과정 중에 윈도우의 SYSTEM 폴더에 SKA.EXE, SKA.DLL 파일을 생성하고, 인터넷 관련 WSOCK32.DLL 파일을 WSOCK32.SKA 파일로 변경(백업)하여 E-Mail 발송시 HAPPY99.EXE 파일이 첨부되도록 WSOCK32.DLL 파일을 변형한다. WSOCK32.DLL 파일이 변형되므로 OUT LOOK 등 E-Mail 프로그램에서 오동작이 일어날 수 있으며, 불필요한 파일이 첨부되므로 그만큼 인터넷 속도가 저하된다. 아울러 HAPPY99.EXE 파일을 전송한 E-mail 주소의 내역은 LISTE.SKA 파일로 저장해둔다. 다른 파일에는 감염되지 않으므로 HAPPY99.EXE 파일과 SKA.EXE, SKA.DLL 파일을 삭제한 후 변형된 WSOCK32.SKA 파일의 확장자를 원래대로 바꾸면 된다. 그러나 이미 HAPPY99.EXE에 의해 변형된 WSOCK32.DLL 파일은 인터넷 관련 프로그램이 실행되고 있으면 삭제되지 않으므로 인터넷 관련 프로그램들을 모두 종료한 후 삭제하거나 도스 모드에서 WSOCK32.DLL 파일을 삭제한 후 변형되어 있는 WSOCK32.SKA 파일의 확장자를 DLL 변경하여 사용한다. HAPPY99.EXE에 의해 다시 WSOCK32.DLL 파일이 변경되는 것을 예방하려면 WSOCK32.DLL 파일의 속성을 읽기 전용으로 변경하면 된다(도스 상태에서 "ATTRIB +R WSOCK32.DLL"라고 명령을 주면 읽기 전용으로 파일 속성이 변경된다.).

==================================================================
4.외국 자료 링크
http://www.geocities.com/siliconvalley/heights/3652/SKA.HTM
여기서 끝냅니다.