FANDOM



Email-Worm.Win32.Happy, oppure semplicemente Happy (anche noto come Happy99, Ska o I-Worm) è un worm per email/newsgroup che si comporta in qualche modo come un virus e un trojan. Creato dal programmatore Spanska, Happy apparve nella quarta edizione della rivista per virus 29A. Sebbene Happy99 sia allo stato brado, non ha un payload distruttivo ed è, come descrive l'autore, un "autostoppista empatico che usa la connessione internet per viaggiare, e ringrazia per il passaggio con una piccola animazione".

ComportamentoModifica

Questo è il primo worm noto ad essere scoperto "allo stato brado". Questo worm è una sorta di virus che, mentre sta diffondendo le sue copie, non infetta i file del disco come obiettivo principale, ma replica le sue copie inviandosi via Internet come allegato in messaggi email. Il worm venne pubblicato da qualcuno (forse dall'autore) a vari server dei notiziari nel gennaio del 1999, per poi essere scoperto "in natura" in Europa e continuare a diffondersi.

Il worm arriva come un allegato email di 10.000 byte di nome HAPPY99.EXE. Questo file ha la struttura interna di Win32 Portable Executable (PE). Il worm si installa nei sistemi Win95/98 e continua a diffondersi senza problemi, cosa che non è capace di fare sui sistemi WinNT, per via di bug. Quando un allegato infetto è eseguito e guadagna il controllo, il worm mostra una serie di fuochi d'artificio dentro la finestra del programma per nascondere la sua natura dannosa. Durante tutto ciò, esso si installa nel sistema, prende controllo degli invii ad Internet, converte il suo codice nell'allegato e lo mette nei messaggi; per questo, il worm, una volta installato nel sistema, è capace di diffondere le sue copie a tutti gli indirizzi a cui vengono inviati i messaggi.

Durante l'installazione, il worm infetta solo i file nella directory di sistema di Windows; esso vi crea i file SKA.EXE e SKA.DLL, copia WSOCK32.DLL in WSOCK32.SKA e aggiorna il file originale WSOCK32.DLL per prendere controllo delle spedizioni di email. Il worm effettua l'operazione addizionale di copiarsi sulla directory già menzionata con il nome di SKA.EXE e inserisce, sempre nella stessa directory, il file SKA.DLL, che è immagazzinato nel file EXE principale (HAPPY99.EXE) in forma criptata e dentro a pacchetto.

Il worm poi copia WSOCK32.DLL a WSOCK32.SKA (crea un "backup") e aggiorna il file WSOCK32.DLL. Se WSOCK32.DLL è in uso e non può essere aperto per modifiche, il worm crea una nuova chiave nel sistema per eseguire il dropper al prossimo riavvio:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce=SKA.EXE

L'aggiornamento di WSOCK32.DLL consiste in una routine di inizializzazione del worm e due exports reindirizzati. La routine di inizializzazione è un piccolo codice (appena 202 byte) che viene salvato alla fine della sezione codice di WSOCK32.DLL (sezione ".text"). WSOCK32.DLL ha abbastanza spazio per questo e le sue dimensioni non aumentano durante l'infezione; poi il worm aggiorna le tabelle export di WSOCK32.DLL in modo che due funzioni ("connect" e "send") puntino alla routine di inizializzazione del worm alla fine della sezione codice di WSOCK32.DLL.

Quando un utente si connette ad Internet, WSOCK32.DLL è attivato, e il worm prende controllo di due eventi: connessione e invio dati. Il worm monitora le porte email e news (25 and 119 - smtp e nntp). Quando nota una connessione in una delle due porte, esso carica la library SKA.DLL che ha due export: "mail" and "news". A seconda del numero di porta, il worm chiama una di queste routine, ma entrambe creano un messaggio, vi inseriscono il dropper con codifica UUencode del file HAPPY99.EXE e lo spediscono ad un indirizzo Internet. Il worm aggiunge anche la sua marca all'intestazione dei messaggi "infetti":

X-Spanska: Yes

Durante la spedizione di allegati infetti, il worm immagazzina gli indirizzi dei destinatari nel file LISTE.SKA nella directory di sistema Windows. Questo "registro" contiene fino a 5K di dati e può contenere fino a circa 200 indirizzi a cui sono stati spediti i messaggi infetti.

Il worm crea i seguenti file su un computer infetto:

%Temp%\~1.exe
%System%\Ska.exe
%System%\Ska.dll
%System%\wsock32.ska

Il worm contiene stringhe di testo, alcune di cui nascoste:

Is it a virus, a worm, a trojan? MOUT-MOUT Hybrid (c) Spanska 1999.

Happy New Year 1999 !!

begin 644 Happy99.exe end

\Ska.exe \liste.ska

\wsock32.dll \Ska.dll \Ska.exe

Ad blocker interference detected!


Wikia is a free-to-use site that makes money from advertising. We have a modified experience for viewers using ad blockers

Wikia is not accessible if you’ve made further modifications. Remove the custom ad blocker rule(s) and the page will load as expected.