Dátum: 1999. november 23., 2:18
Feladó: Vizi Pál --
Tárgy: Anti Happy99
FONTOS 1.- Nyozo mailere NEM terjeszti a happy-t, kozvetlenul. Aki
fertozott, az ujabb H99 mutansok MAS LEVELHEZ CSAPJAK, MINT AKITOL TENYLEG
KAPTA.
FONTOS 2.- Re:HEV irta, hogy a levelek fejleceit eltunteti. Igen, igy (is)
lehet eszrevenni, de ekkorra mar karokat okozott. Speciel a fejleceket a MS
levelezorendszerek fejlec megjelenes ujrakonfiguralasaval ujra elo lehet
szedni, de o ujbol es ujbol eltunteti, amig alabbi irtasok meg nem tortennek.
FONTOS 3.- Talan tovabbi hasznos infok, el nem hangzott infok.
- "kezi" leszedes
- a level vegen pedig az VIRUSIRTOK LETOLTESI HELYE.
Tehat:
> A fertozott melleklet vegrehajtasakor a fereg, rosszindulatu
> termeszetet elrejtendo, szorakoztato tuzijatekot mutat be. Kozben a
> hatterben azonban telepiti magat a rendszerbe, majd elfogja az
> Internetre kuldott e-maileket, es mellekletkent hozzajuk fuzi magat.
> Ennek eredmenyekepp a fereg kepes tovabbterjedni mindazokra a
> rendszerekre, amelyekre a fertozott rendszerrol level erkezik.
>
> Eltavolitas es vedekezes
> ------------------------
>
> A szamitogepen felfedezett
> feregtol igen egyszeruen meg lehet szabadulni, csupan az SKA.EXE es
> SKA.DLL allomanyokat kell a Windows rendszerkonyvtarabol torolni.
> Torolje tovabba a WSOCK32.DLL allomanyt, es helyettesitse az eredeti
> WSOCK32.SKA allomannyal! Vegul meg kell keresni a HAPPY99.EXE
> allomanyt, es szinten eltavolitani.
> A szamitogep ujrafertozodese ellen csupan be kell kapcsolnia a
> WSOCK32.DLL allomany Read-Only attributumat. A fereg nem figyel a
> Read-Only tulajdonsagra, es igy ilyenkor nem sikerul megfertoznie az
> allomanyt. Ezt a trukkot a Data Fellowsnal
> ( http://www.datafellows.com) dolgozo magyar Szor Peter fedezte fel.
>
> A kulonleges AVP frissites (HAPPY.AVC adatbazis) megallitja a fereg
> tovabbi terjedeset, es megakadalyozza az On szamitogepenek
> fertozodeset. A frissites ingyenesen letoltheto az AVP vilag minden
> tajarol elerheto honlapjairol.
> Technikai reszletek
> -------------------
>
> A fereg egy pontosan 10000 byte-os HAPPY99.EXE nevu Win32
> Portable Executable (PE) belso strukturaju vegrehajthato allomanykent
> erkezik. Windows 95/98 rendszereken problema nelkul telepiti magat es
> megkezdi a szaporodast. Windows NT alatt programhibak miatt nem kepes
> a szaporodasra.
>
> A fereg kulonbozo szovegeket tartalmaz, nemelyiket kodolva:
>
> Is it a virus, a worm, a trojan? MOUT-MOUT Hybrid (c) Spanska 1999.
> Happy New Year 1999 !!
> begin 644 Happy99.exe end
> \Ska.exe \liste.ska
> \wsock32.dll \Ska.dll \Ska.exe
>
> A fereg vegrehajtasakor bemasolja magat SKA.EXE neven a Windows
> rendszerkonyvtaraba, majd ugyanitt elhelyez egy SKA.DLL nevu allomanyt
> is (ez utobbi a HAPPY99.EXE allomanyban talalhato kodolt es tomoritett
> formaban). Ezutan a fereg atalakitja a WSOCK32.DLL allomanyt, de
> elobb "biztonsagi masolatot" keszit rola WSOCK32.SKA neven.
>
> Amennyiben a WSOCK32.DLL hasznalatban van, es igy nem lehet irasra
> megnyitni, a fereg letrehoz egy uj kulcsot a rendszerleiro
> adatbazisban, ami ujrainditas utan futtatja a fereg telepitojet:
>
>
>
> A WSOCK32.DLL atalakitasa csupan egy inicializalo rutin es ket
> atiranyitott fuggveny hozzaadasabol all. Az inicializalo rutin egy
> nagyon kicsi feregkod, mindossze 202 byte hosszu. A WSOCK32.DLL
> kodreszenek (".text" resz) vegere kerul. Ehhez elegendo hely
> talalhato a WSOCK32.DLL-ben, igy a fertozes soran nem is valtozik a
> merete.
>
> Ezek utan a fereg atalakitja a WSOCK32.DLL exporttablait, hogy ket
> fuggveny ("connect" es "send") a fereg inicializalo rutinjara mutasson
> a WSOCK32.DLL kodreszenek vegen.
>
> Amikor egy felhasznalo csatlakozik az Internetre, a WSOCK32.DLL
> aktivalodik, es a fereg figyelni kezdi ket esemeny bekovetkeztet, a
> csatlakozas letrehozasaet es az adatkuldeset. Amikor csatlakozast lat
> az nntp vagy az email portok (119 vagy 25) egyiken, betolti az SKA.DLL
> konyvtarat, ami a mail es a news fuggvenyeket exportalja. A port
> szamatol fuggoen a fereg meghivja ezen fuggvenyek egyiket. Mindketto
> ugyanazt teszi: letrehoz egy uj uzenetet, beleteszi az UUencode-dal
> kodolt HAPPY99.EXE virust, majd elkuldi a megadott Internet-cimre. A
> fereg a megfertozott uzenetek fejlecebe a kovetkezot irja:
>
> X-Spanska: Yes
>
> A fertozott mellekletek kuldese soran a fereg eltarolja a cimzettek
> cimet a Windows rendszerkonyvtar LISTE.SKA nevu allomanyaba. Ez a
> "naploallomany" legfeljebb 5 kB adatot es 200 olyan cimet tartalmaz,
> ahova fertozott uzenetet kuldott.
------------------------------
IRTOK LETOLTHETOEK peldaul innen:
http://tucows.euroweb.hu/virus95.html
vagy a megfelelo operacios rendszer Antivirus programjaihoz el lehet jutni a
http://tucows.euroweb.hu/ -rol is, (illetve barmely tucows serverrol, vagy a
virusirtok sajat szervereirol stb.
Udvozlettel Vizi Pal
a kenyszervirusirto