1999年2月24日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)
自分自身をメールの添付ファイルで送るウイルスによる被害が急増しているので、注意して下さい。
・例えよく知っている相手からのメールであったとしても、Happy99.exeというファイルが添付されている場合は、実行することなく、速やかに削除して下さい。
・送ってきた相手が気づいていない場合があるので、ウイルス感染の可能性がある旨連絡して下さい。
・マッキントッシュ機の場合は、受け取ったHappy99.exeを実行しても感染・発病しないが、受け取ったHappy99.exeが添付されているメールを他の人にそのまま転送すると、送信先のマシンが被害に遭うので、Windows機と同じように、Happy99.exeの添付されたファイルは削除して、決して他への転送を行わないようにして下さい。
(2)概要
W32/SkaはHappy99とも言われ、トロイの木馬の一種である。このウイルスは、通常、電子メールや
ニュースグループ上の添付ファイルとして拡がっていく。
電子メールの場合、他の自分宛のメールと同じタイミングで
Happy99.exe というファイルだけ
が添付されたメールが届く。送り主は大抵の場合、直前にメールを送ってきた人物と同一である。
Windows95/98のユーザが、このファイルを実行すると、「Happy New Year
1999」というタイトルの花火の画像が表示される。
W32/SkaはSKA.EXEとSKA.DLLという名前の ファイルをWindowsのsystemフォルダに作成し、Windows
が元から備えているWSOCK32.DLLファイルを WSOCK32.SKAという名前でバックアップした後、このWSOCK32.DLLの一部を書き換える。
WSOCK32.DLLが書き換えられたコンピュータでインターネット接続し、電子メール(またはニュース)
を送ると、W32/Skaは、そのメッセージと同じ宛て先にもう一通、Happy99.exeを添付した同じ件名のメールを送信する。
メーラーを利用してメールを作製していないので、メーラーに履歴が残ることはない。
また、Happy99.exeが添付されたメールの本文は空である。
添付メールが送信されると、WindowsのsystemフォルダにLISTE.SKAという名前のファイルが作成され、
送り先が記録される。
W32/Skaはこのファイルを確認してメールを送信するため、同一人物に2回以上
Happy99.exeが添付されたメールが送信されることはない。
(3)感染確認方法
Windowsのsystemディレクトリに SKA.EXE、 SKA.DLL、 WSOCK32.SKA が存在するかどうか確認する。 存在していれば、W32/Skaに感染している。
(4)修復方法:
SKA.EXE、SKA.DLLを削除し、WSOCK32.SKA で WSOCK32.DLL
を置き換えることによって修復する。
Windows 95/98 が起動していると、WSOCK32.DLL
を置き換えることができないので、MS-DOSモードで起動して作業をする必要がある。
1.Happy99.exeが添付されているメールを添付ファイルごと削除する。
2.コンピュータをMS-DOSモードで再起動する。
start / windowsの終了 / MS-DOSモードで再起動するを選び、OKをクリック。
3.DOSのプロンプトが表示されたら、次のとおり、順番にコマンドを実行する。
少しでも間違えるとコンピュータが正常に動作しなくなる場合もあるので注意すること。
cd c:\windows\system (Windowsが、c:\windowsにインストールされている場合)
del ska.exe
del ska.dll
copy wsock32.ska wsock32.dll (上書きしてもよいかには、「はい」を選択)
del wsock32.ska
del liste.ska (ファイルが有れば)
exit (再起動)
注)
他のウイルスに感染している可能性もあるので、修復後は必ず、最新のワクチンソフトで検査を行って、ウイルス感染が無くなったことを確認して下さい。
●下記サイトにも情報が掲載されているので、参照して下さい。
ウイルス対策のトップページはこちらをご覧ください。