ウイルス情報

ウイルス名

W32/Ska2K.worm

種別 ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4012
対応定義ファイル
(現在必要とされるバージョン)
4012 (現在7656)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 Happy00
亜種 W32/Ska
情報掲載日 00/01/20
補足 1/21に弊社に被害報告が入ったので、危険度を「中」に格上げしました。
W32/Ska(別名Happy99)の亜種
発見日(米国日付) 00/1/17
駆除補足 手作業駆除となります。詳細は本文を御参照ください。ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法


*注意)これは1999年2月に初めて確認されたウイルスを原型とし、わずかにそれを変更したものです。4012以降のDATファイルでの検出が可能です。*

このウイルスは10,000バイトのファイルであり、Eメールの添付ファイルとして送信されます。Eメール アプリケーションがSMTPでのメール送受信に対応している場合、このウイルスを実行すると、WSOCK32.DLLにパッチを当て、その宿主となるシステムから、Eメールにてさらにウイルスの送信がおこなわれるようになります。感染したシステムが前述した環境に対応している場合、このシステムからEメールが送信されると、続いて、このウイルスが添付ファイルあるいは以下のようなMIMEとして含まれるEメールが送信されます。

>X-Spanska: Yes
>
>begin 644 Happy00.exe
>M35I0`
(````$``\`__\``+@`````````0``:````````````````````````
>M``````````````````````$``+H0``X?M`G-(;@!3,TAD)!4:&ES('!R;V=R

上記テキストは、意図的に短縮したものであり、この解説に必要であることから、部分的に掲載したものです。このウイルスを実行すると、"Happy New Year 2000!!"というメッセージとともに“花火”の画像が表示されます。

AVERTでは、このメールおよび添付ファイルを受信したら、すぐに削除するよう警告しています。このウイルスはEメールでの配信によりシステムに感染するもので、Happy00.EXEという添付ファイルとして送られてきます。送信者の気づかないうちに送信され、プログラムを実行すると、画面に花火を表示させるという発病をもっています。

HAPPY00.EXEを実行すると、自分自身をSKA.EXEという名前で、Windows\Systemフォルダにコピーします。さらにSKA.DLLという名前のDLLを自分自身の中から解凍し、Windows\Systemフォルダに展開します(SKA.DLLがすでに存在していない場合のみ)。

注意: SKA.EXEファイルはHAPPY00.EXEファイルのコピーですが、HAPPY00.EXEファイルのように起動することはありません。このため、自らをさらにコピーすることも、画面に花火を表示させることもありません。

この後、本ウイルスはWindows\Systemフォルダの中にWSOCK32.SKAが存在するかどうかを検査し、このファイルが存在せずWSOCK32.DLLが存在する場合、バックアップとしてWSOCK32.DLLをWSOCK.SKAにコピーします。

この後、次のレジストリ エントリを作成します。

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\ Ska.exe="Ska.exe"

これにより、次回のシステム再起動時にSKA.EXEが実行されます。この時、ウイルスがWSOCK32.DLLにパッチを当て、EnumProtocolsW、WSAAsyncGetProtocolByNameという、エクスポート関数へのフックを追加します。

パッチされたコードは、SKA.DLLの中のmail、newsという二つのエクスポート関数を呼び出します。これらの関数により、ウイルスが自分自身をSTMP 電子メールおよびニューズグループ(NNTP)への投稿物へに付着させることが可能になります。

感染方法
実行可能ファイルを起動することにより、2つのルーチンでWSOCK32.DLLにパッチを当て、SMTP/NNTPプロトコルでの配布を可能にする。

駆除の手順
駆除には以下のような、手動での作業が必要です。まず、WSOCK32.DLLがWindows上で変更されないように、MS-DOSモードで再起動します。[Windowsの終了]→[MS-DOSで再起動する]を選択した後(Windows 95の場合)、コマンドプロンプトに次のコマンドを入力してください。

CD C:\WINDOWS\SYSTEM

REN WSOCK32.DLL WSOCK32.BAD

REN WSOCK32.SKA WSOCK32.DLL

DEL SKA.EXE

DEL SKA.DLL

COPY LISTE.SKA C:\

これでウイルスの発動が阻止できます。EXITと入力してWindowsを再起動してください。 このLISTE.SKAファイルには、あなたから一方的にHAPPY00.EXEファイルを受信した人のリストが含まれていることにご注意ください。受信者にこのウイルスについて報告し、駆除の手順も合わせて送信されることをおすすめします。