Happy'99

Limpiadores

Esta página es una traducción-resumen de la original en inglés.

Por favor, si has llegado a esta página directamente, antes de irte visita mi página principal pues me gustaría que activases las estadísticas. Gracias.

Si quieres darle a alguien esta dirección, hazle pasar por la página principal, por favor. La dirección es: http://www.teleline.es/personal/fjmarin/

Si lo que quieres es información sobre el virus Melissa, ve hacia abajo.

Información

Este virus está ligado a los mensajes de grupos de news o e­mail como un programa adjunto llamado "Happy99.exe". No puedes contagiarte sólo por leer las news o un e­mail. Para infectarse hay que ejecutar el programa que trae adjunto (attached). La persona que te lo ha enviado no sabe que lo ha hecho, pues de eso se encarga el virus. Si no ejecutas el programa, borra el mensaje y ya está. No deberías ejecutar ficheros EXE, COM, SHS, BAT, VBS o documentos de MS Office si no conoces a quien te lo envía y su propósito, y aún así deberías hacerlo pasar por un antivirus. Si ejecutas el programa aparece una pantalla con fuegos artificiales que tiene esta pinta (el fondo en realidad es negro, pero lo he puesto blanco por si quieres imprimirlo, para que no gastes el cartucho de tinta o el toner ­¿alguien usa todavía cinta?­):

El virus crea dos ficheros en el directorio de sistema de Windows, "SKA.DLL" y "SKA.EXE", que es una copia de "HAPPY99.EXE". Además hace una copia de "WSOCK32.DLL" con el nombre de "WSOCK32.SKA". Entonces modifica "WSOCK32.DLL" sin cambiar su tamño para que en ciertas circustancias acceda a "SKA.DLL". No modifica ningún otro fichero más que "WSOCK32.DLL".

"WSOCK32.DLL" es un componente de Windows que proporciona servicios de conexión a Internet. Si el virus no puede modificar "WSOCK32.DLL" porque en ese momento esté en uso por otra aplicación, entonces añadirá "SKA.EXE" a la sección "RunOnce" (ejecutar una vez) del registro de Windows y "WSOCK32.DLL" será modificado la siguiente vez que se arranque el ordenador o la sesión. El archivo "WSOCK32.DLL" modificado adjuntará "HAPPY99.EXE" a una segunda copia de los mensajes salientes de los grupos de news y los e­mail. Esta copia del mensaje tiene el mismo asunto y destinatario, pero con el cuerpo en blanco y es invisible para el usuario que lo envía. Además, en el mensaje, e invisible para el usuario, envía la cabecera:

X-Spanska: Yes

Este virus mantiene un lista de los destinatarios en el fichero "LISTE.SKA" en el directorio de sistema de Windows e intenta no mandar dos veces el virus al mismo destinatario.

El virus no afecta a usuarios de Mac, DOS, Windows 3.x, OS/2, Linux o WebTV, aunque pueden transmitirlo manualmente al reenviar un mensaje. En windows NT, crea SKA.EXE, SKA.DLL, y WSOCK32.SKA pero falla al añadirse al registro y al modificar WSOCK32.DLL. Si tienes NT, simplemente borra SKA.DLL, WSOCK32.SKA y SKA.EXE desde el mismo Windows NT. El virus tampoco afecta a WSOCK32.DLL si tiene activado el atributo de "sólo lectura"

El virus contiene un mensaje encriptado:

"Is it a virus, a worm, a trojan?
 MOUT­MOUT Hybrid (c) Spanska 1999."

Spanska es el alias de un ya conocido escritor de virus. Si quieres seguirle el juego, la discusión sobre lo que es (virus, gusano o caballo de Troya) está en inglés en: Is it a virus, a worm, or a trojan? (Technical Discussion)

Parece que esta discusión para clasificar su "obra", es el único interés de su "creador".

Eliminar

Los pasos marcados como opcionales no son completamente necesarios y te los puedes saltar, pero recomiendo que se hagan. Si no te sientes seguro al trabajar con DOS, pide a alguien que te ayude o usa algunos de los limpiadores automáticos que recomienda el autor de estas instrucciones. Yo (el traductor) no los he usado, así que no te los puedo recomendar.

  1. Haz clic en "Inicio", luego en "Apagar el sistema" y selecciona "reiniciar en modo MS­DOS". Haz clic en "Aceptar".
    Se hace desde MS­DOS porque es casi seguro que no se tenga acceso a los archivos desde Windows por estar en uso.
  2. En la línea de comando del DOS teclea exactamente lo siguiente y pulsa "Enter" ("Intro") al final de cada línea:
    CD \WINDOWS\SYSTEM

    Si tu carpeta (directorio) de Windows no se llama WINDOWS sustituye el nombre en la orden, por ejemplo:

    CD \WIN95\SYSTEM
  3. Borra SKA.EXE y SKA.DLL tecleando:
    DEL SKA.EXE
DEL SKA.DLL

    Si te da el error "archivo no encontrado" o no estás infectado o estás en el directorio equivocado. Asegúrate de que es el directorio de sistema. Si has hecho todo bien y sigues recibiendo "archivo no encontrado", continúa con los demás pasos, no son peligrosos.

  4. Este es el paso más importante:

    Copia WSOCK32.SKA sobre WSOCK32.DLL tecleando:

    ATTRIB -R WSOCK32.DLL
COPY WSOCK32.SKA WSOCK32.DLL

    Contesta "Sí" en caso de que te pregunte si deseas sobreescribir WSOCK32.DLL. Explicación: WSOCK32.SKA es una copia del WSOCK32.DLL original hecha por el virus. Sustituirás así la DLL modificada con la original. La línea que comienza con ATTRIB, es para desactivar el atributo de fichero "sólo lectura" si el fichero lo tuviere activo.

  5. Opcional. Borra WSOCK32.SKA tecleando:
    DEL WSOCK32.SKA

    No es necesario borrar WSOCK32.SKA, aunque es una copia de una DLL que no sirve para nada y ocupa disco innecesariamente, pero no la borres si no has podido reemplazar correctamente WSOCK32.DLL con WSOCK32.SKA, pues perderías la DLL original.

  6. Vuelve a Windows tecleando:
    EXIT
  7. Opcional. Haz clic en "Inicio", luego "Ejecutar" y escribe "regedit" en la caja de texto. Entonces, haz clic en  "aceptar". En el editor de registro, hacer clic sucesivamente en las carpetas HKEY_LOCAL_MACHINE, Software, Microsoft, Windows, CurrentVersion y RunOnce. Busca si RunOnce contiene una entrada llamada SKA.EXE, si está seleccionalá y pulsa "Supr" ("Del") y haz clic en "Aceptar". No cambies nada más y cierra "Regedit". Si no aparece la entrada SKA.EXE en el registro, no quiere decir que no estés infectado, sino que SKA.EXE pudo modificar WSOCK32.DLL y no lo intentará al rearrancar.

     
  8. Opcional. Haz clic en "inicio", "programas", Accesorios" y "bloc de notas". En el menú del programa, elije "fichero" y "abrir" y teclea C:\WINDOWS\SYSTEM\LISTE.SKA en la caja de nombre de fichero. Avisa a la gente que hay en la lista (pues tú los has contagiado) y borra el fichero.
  9. Opcional. Borra "HAPPY99.EXE", puede estar en distintos sitios, pues depende de si lo has salvado o de si está en memoria caché del disco. Haz una búsqueda con la herramienta "buscar" de windows y bórralos todos. Si también lo tienes adosado a algún mensaje recibido, bórra el mensaje entero.

Espero que haya quedado claro, y si no, mándame un mensaje a ESCUDO@teleline.es

Melissa

Página original en http://www.systemhouse.com/products/networkassociates/nai_news/melissa.html

Supongo que habrás oído hablar del virus Melissa, es un virus detectado por primera vez en el grupo de noticias alt.sex el 23 de marzo, donde se envió un Documento Word que contenía contraseñas (passwords) para acceder a páginas pornográficas. Desde luego, el cebo era excelente y funcionó de maravilla. Se ha considerado a Melissa como el virus más rápidamente extendido de toda la historia.

Este documento contenía el virus de macro "Melissa". Al ser un virus de "macro" sólo afecta a quien habra el documento con Word 97 o Word 2000 y use Outlook o Outlook Express. Entonces el virus envía una copia del documento a las primeras 50 entradas de la libreta de direcciones del usuario. Si lo abres con versiones anteriores de Word, con las macros desactivadas, con Wordpad o con el WordViewer no corres peligro.

Los mensajes (e-mail) que envía tienen este asunto (subject):

Important Message From – <NOMBRE>

donde NOMBRE es el nombre del que lo envía. En el cuerpo del mensaje aparece:

Here is that document you asked for ... don’t show anyone else ;-)

No parece tener fines destructivos, pero si cuando se activa el virus, los minutos que pasan de la hora coinciden con el día del mes (ej.: 12:29 del 29/3/99) inserta el siguiente texto en la posición del cursor:

Twenty-two points, plus triple-word-score, plus fifty points for using all my letters.
Game's over. I'm outta here.

Dado el carácter aparentemente benigno de este virus, parece que el único daño real será para los servidores de correo por la saturación que provoca y la molestia de siempre de ser contagiado.

Como no tengo el virus ni pienso tenerlo, no estoy seguro, pero supongo que el virus se ejecuta cada vez que se abre el documento. Por último recuerda lo que digo más arriba: no debes ejecutar ficheros EXE, COM, SHS, BAT, VBS o documentos de MS Office si no conoces a quien te lo envía y su propósito, y aún así deberías hacerlo pasar por un antivirus.