W32/Ska(Happy99)に関する情報

1999年2月24日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)


 自分自身をメールの添付ファイルで送るウイルスによる被害が急増しているので、注意して下さい。

(1)注意事項

・例えよく知っている相手からのメールであったとしても、Happy99.exeというファイルが添付されている場合は、実行することなく、速やかに削除して下さい。

・送ってきた相手が気づいていない場合があるので、ウイルス感染の可能性がある旨連絡して下さい。

・マッキントッシュ機の場合は、受け取ったHappy99.exeを実行しても感染・発病しないが、受け取ったHappy99.exeが添付されているメールを他の人にそのまま転送すると、送信先のマシンが被害に遭うので、Windows機と同じように、Happy99.exeの添付されたファイルは削除して、決して他への転送を行わないようにして下さい。

(2)概要

W32/SkaはHappy99とも言われ、トロイの木馬の一種である。このウイルスは、通常、電子メールや ニュースグループ上の添付ファイルとして拡がっていく。
電子メールの場合、他の自分宛のメールと同じタイミングで Happy99.exe というファイルだけ が添付されたメールが届く。送り主は大抵の場合、直前にメールを送ってきた人物と同一である。

Windows95/98のユーザが、このファイルを実行すると、「Happy New Year 1999」というタイトルの花火の画像が表示される。
W32/SkaはSKA.EXEとSKA.DLLという名前の ファイルをWindowsのsystemフォルダに作成し、Windows が元から備えているWSOCK32.DLLファイルを WSOCK32.SKAという名前でバックアップした後、このWSOCK32.DLLの一部を書き換える。
WSOCK32.DLLが書き換えられたコンピュータでインターネット接続し、電子メール(またはニュース) を送ると、W32/Skaは、そのメッセージと同じ宛て先にもう一通、Happy99.exeを添付した同じ件名のメールを送信する。
メーラーを利用してメールを作製していないので、メーラーに履歴が残ることはない。
また、Happy99.exeが添付されたメールの本文は空である。

添付メールが送信されると、WindowsのsystemフォルダにLISTE.SKAという名前のファイルが作成され、 送り先が記録される。
W32/Skaはこのファイルを確認してメールを送信するため、同一人物に2回以上 Happy99.exeが添付されたメールが送信されることはない。

(3)感染確認方法

Windowsのsystemディレクトリに SKA.EXESKA.DLLWSOCK32.SKA が存在するかどうか確認する。 存在していれば、W32/Skaに感染している。

(4)修復方法:

SKA.EXE、SKA.DLLを削除し、WSOCK32.SKA で WSOCK32.DLL を置き換えることによって修復する。
Windows 95/98 が起動していると、WSOCK32.DLL を置き換えることができないので、MS-DOSモードで起動して作業をする必要がある。

1.Happy99.exeが添付されているメールを添付ファイルごと削除する。

2.コンピュータをMS-DOSモードで再起動する。
  start / windowsの終了 / MS-DOSモードで再起動するを選び、OKをクリック。

3.DOSのプロンプトが表示されたら、次のとおり、順番にコマンドを実行する。
  少しでも間違えるとコンピュータが正常に動作しなくなる場合もあるので注意すること。

    cd c:\windows\system  (Windowsが、c:\windowsにインストールされている場合)
    del ska.exe
    del ska.dll
    copy wsock32.ska wsock32.dll (上書きしてもよいかには、「はい」を選択)
    del wsock32.ska
    del liste.ska (ファイルが有れば)
  exit  (再起動)

注) 
他のウイルスに感染している可能性もあるので、修復後は必ず、最新のワクチンソフトで検査を行って、ウイルス感染が無くなったことを確認して下さい。


W32/Ska(Happy99)発病画面

ska.gif (10525 バイト)


●下記サイトにも情報が掲載されているので、参照して下さい。


      ウイルス対策のトップページこちらをご覧ください。