製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:S
ウイルス情報
ウイルス情報

ウイルス名
W32/Ska@m
危険度
対応定義ファイル4012 (現在7593)
対応エンジン4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名Happy99, I-Worm.Happy, W32/Ska.dll, W32/Ska.dll@m
発見日(米国日付)99/01/27
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/19Generic Back...
10/19DNSChanger.b...
10/19RDN/Generic ...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


新種ウイルスW32/Ska(別名:Happy99.EXE)への
対応のお知らせ(99/02/01)


W32/SkaというWin32ウイルスが米国に続き、日本でも発見されました。米国NAIでは1/27に報告が上がりましたが、2/1現在、日本でも被害報告例が弊社に寄せられています。このウイルスはHappy99.EXEという添付ファイルを付与する形で、メール形式で不特定多数へ向けて配布されており、そのため、日本でも早期の上陸があったものと思われます。

99/2/25: 現在、本ウイルスにつき、弊社に多くの報告が寄せられています。日本での繁殖が増加の途上にあるものと考えられます。

見知らぬ人から、Happy99.EXEという添付ファイルのついたメールが届いた場合、オープンせずに即刻削除するようおすすめします。

ウイルス情報

    このウイルスは電子メールやニューズグループへの投稿を通じ、通常はHAPPY99.EXEという名前の添付ファイルを通じて配布されています。HAPPY99.EXEを起動すると、"Happy New Year 1999"というメッセージのついた花火の画像が表示されます(左図参照)。

    HAPPY99.EXEを起動すると、自分自身をSKA.EXEという名前で、Windows/Systemフォルダにコピーします。さらにSKA.DLLという名前のDLLを自分自身の中から解凍し、Windows/Systemフォルダに展開します(SKA.DLLがすでに存在していない場合のみ)。

    その後、WSOCK32.DLLのバックアップをWSOCK32.SKAという名前で作成します。SKA.EXEは、SMTPメールへのコール、およびNNTPプロトコルによるニュースグループへの投稿をフックします。これにより、SKA.EXEは再びHAPPY99.EXEという形で、Eメールやニュースグループの投稿に添付されて送られることになります。(ユーザがEメールをSMTPエージェントといっしょに使った場合だけです)。

    またSkaの動作により、以下のレジストリ・エントリが作成されます。
    HKEY_LOCAL_MACHINE\SOFTWARE\
    Microsoft\Windows\CurrentVersion\
    RunOnce\Ska.exe="Ska.exe"

    このレジストリの働きにより、次回システム起動時に、SKA.EXEが実行されます。この際に、ウイルスはWSOCK32.DLLにパッチを当て、EnumProtocolsW、WSAAsyncGetProtocolByNameというエクスポート関数へのフックを追加します。

    パッチされたコードは、SKA.DLLの中のmail、newsという二つのエクスポート関数をコールします。これらの関数により、ウイルスが自分自身をSTMP 電子メールおよびニューズグループへの投稿物へに付着させることが可能になります。

    またHAPPY99 (W32/Ska)は "liste.ska"といファイルの中にユーザに送信されたEメールのログを保存します。


検出方法


駆除方法

    W32/Ska駆除プログラムのダウンロード

    注:本プログラムはW32/Skaの「駆除のみ」を行うものです。ウイルスの検出については上記の「検出方法」を御参照ください。

    使用方法

    1. ダウンロードしたファイルをc:\tmpなど適切なディレクトリに解凍してください(以下、C:\tmpに解凍したものとして説明します)。

    2. スタートメニューの「ファイル名を指定して実行」を使って、"C:\tmp\RMSKA.EXE"を実行してください。

    3. 実行後にシステムを再起動すれば、駆除が完了します。

      注:本駆除プログラムはPC内のウイルス感染ファイルの修復(SKA.DLLの削除やWINSOCK32.DLLの復旧など)は行いますが、メールで届いたHappy99.EXE自体の削除は行いません。Happy99.EXE入りのファイルは手動でメール削除していただけるようお願いいたします。