Internet Museum
Internet hoax imformation pages

If you receive this or alike message please don't pass it on.

Name Happy 99
Date 1999年5月30日
Category デマ&ウイルス 複合型
Remarks None

投稿者のコメント
これって本物ですよね


From 管理人
ええ、本物です。 99年になっるとこのダイアログが開く、そんなウイルスでした。



W32/SkaというWin32ウイルスが米国に続き、日本でも発見されました。米国NAIでは1/27に報告が上がりましたが、2/1現在、日本でも被害報告例が弊社に寄せられています。このウイルスはHappy99.EXEという添付ファイルを付与する形で、メール形式で不特定多数へ向けて配布されており、そのため、日本でも早期の上陸があったものと思われます。


読者の方からのご指摘

ええと。こんにちは。
happy99exeについてお手紙します。
既にご存知でないはずはないようにも思うのですが、念のためメールします。
happy99.exeは、単に1999年になると花火があがるプログラムというわけではなくて、一度添付ファイルとして開くと、以後知らないうちに自分が送信するメール全てに添付ファイルとして添付されてしまう(しかも記録に残らない)というプログラムです。

私は海外サイトのメーリングリストに参加する際のメールのやりとりで感染してしまい(listbot)、気付かずに数名にこのプログラムを添付したメールを送ってしまいました。OZの友人がすぐに気がつき対処法を調べたメール(下記参照)を送ってくれたので、この手のことに詳しくない私もすぐに解決でき、またそれ以上の被害拡大をふせぐことができました。
知らないはずないよなあ、と思いつつ、コメントが「本物ですよ」という程度なので????と心配になったのでメールしました。
それでは。


解説

この画像の扱いには当時非常に苦労したしました。 私のサイトに来るお客様は、初心者の方も多く、実在するウイルスだけに、画像が送られてきただけで、『感染したみたいです』。と言うメールが山のように届きました。

この画像は、 「Happy99.exe」呼ばれるプログラムを実行するとこの画面が表示されます。

画像自体はネット上でサンプルとして掲載されていたもので、次第にその画像をメールに添付、その後チェーンメール化したものと思われます。

W32/Skaは、通称「Happy99」と呼ばれているもので、電子メールやニューズグループの添付ファイルにより拡がるトロイの木馬の一種。「Happy99.exe」というWindows用実行ファイルが添付されたメールが届き、これを実行すると「Happy New Year 1999」というタイトルの花火の画面を表示、同時にシステムファイルの一部を書き換えてしまう。以降、そのマシンでメールを送信すると、同じ宛先にHappy99.exeを添付した同じサブジェクトのメールが勝手に送信される。メールソフトに送信履歴を残さないため、送信者側も気付かないことが多いという




>Dear XXXXXXX.
>
>Date: 17/5/99
>This is a worm program, NOT a virus. This program has reportedly been
>received through email spamming and USENET newsgroup posting. The file is
>usually named HAPPY99.EXE in the email or article attachment.
>When being executed, the program also opens a window entitled "Happy New
>Year 1999 !!" showing a firework display to disguise its other actions. The
>program copies itself as SKA.EXE and extracts a DLL that it carries as
>SKA.DLL into WINDOWS\SYSTEM directory. It also modifies WSOCK32.DLL in
>WINDOWS\SYSTEM directory and copies the original WSOCK32.DLL into
>WSOCK32.SKA.
>WSOCK32.DLL handles internet-connectivity in Windows 95 and 98. The
>modification to WSOCK32.DLL allows the worm routine to be triggered when a
>connect or send activity is detected. When such online activity occurs, the
>modified code loads the worm's SKA.DLL. This SKA.DLL creates a new email or
>a new article with UUENCODED HAPPY99.EXE inserted into the email or
article.
>It then sends this email or posts this article. If WSOCK32.DLL is in use
>when the worm tries to modify it (i.e. a user is online), the worm adds a
>registry entry:
>HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce=SKA.EX
E
>The registry entry loads the worm the next time Windows start.
>Removing the worm manually:
>delete WINDOWS\SYSTEM\SKA.EXE
>delete WINDOWS\SYSTEM\SKA.DLL
>in WINDOWS\SYSTEM\ directory, rename WSOCK32.DLL to WSOCK32.BAK
>in WINDOWS\SYSTEM\ directory, rename WSOCK32.SKA to WSOCK32.DLL
>delete the downloaded file, usually named HAPPY99.EXE
>Windows prevents you to do step #3 and #4 above if the machine is still
>connected to the Internet. The file "windows\system\wsock32.dll" is used
>whenever the machine is connected to Internet (i.e. through dial-up or LAN
>connection).
>If you are using dial-up connection (i.e. Oz2000 Internet), you need to do
>the following:
>Disconnect Oz2000Õs internet connection
>delete WINDOWS\SYSTEM\SKA.EXE
>delete WINDOWS\SYSTEM\SKA.DLL
>in WINDOWS\SYSTEM\ directory, rename WSOCK32.DLL to WSOCK32.BAK
>in WINDOWS\SYSTEM\ directory, rename WSOCK32.SKA to WSOCK32.DLL
>delete the downloaded file, usually named HAPPY99.EXE
>If you are connected to Internet through LAN (i.e. in the office or cable
>modem), you need to do the following:
>From the Start menu, select shutdown-restart in MS DOS mode
>type CD \windows\system when DOS prompt (C:\)appears
>type RENAME WSOCK32.DLL WSOCK32.BAK
>type RENAME WSOCK32.SKA WSOCK32.DLL
>type DEL SKA.EXE
>type DEL SKA.DLL


陳からのコメント


ご指摘の通りこれはワームというタイプの不正なプログラムですね。

Happy99は別名W32/Skaと呼ばれており、通常電子メールやニュースグループへの投稿を通じ繁殖されているようです。

このプログラムはタイトル通りHAPPY99.EXEという名前で、電子メールなどに添付されます。

HAPPY99.EXEファイルが実行されると、不正な動作を隠すかのように"Happy New Year 1999!"
というタイトルで花火の画像を表示します。 これが、このページの下に添付したダイアログですね。

簡単に動作を説明するとプログラムは自分自身をSKA.EXEという名前でコピーし、さらにSKA.DLLという名前の
DLLをWINDOWS\SYSTEMディレクトリに展開します。
また、WINDOWS\SYSTEMディレクトリにあるWSOCK32.DLLをWSOCK32.SKA
という名前で保存し、WSOCK32.DLLを変更します。

WSOCK32.DLLは、Windows上でインターネット接続するために使用します。
変更されたWSOCK32.DLLは、インターネット接続やデータ送信時、SKA.DLLをロードします。

SKA.DLLは、UUENCODE形式でエンコードしたHAPPY99.EXEを、電子メールやニュースグル
ープの投稿に自動的に添付して送信してしまいます。



トンデモ画像として出回ったもの




1999年5月採取 Gif 5k



これと同じメール、または似たたようなメールを受信されましたら、くれぐれも転送しないように、ご注意下さい。 これは、コンピュータの初心者や経験の浅いユーザが混乱させたり、間違ったインターネットのマナーを覚える原因になります。  皆様のご協力をお願い申し上げます。
 

このページでは、みなさまのご意見・ご感想、情報提供などをお待ちしております。
までお寄せください。 
このページは一部の機能にJavaScriptを使用しております
掲載の記事・写真の無断転載を禁じます   使用条件プライバシー
Copyright © 1998-2001 T.Miyazaki All Rights Reserved.
Any unauthorized reproduction of any of its content is prohibited.
E-mail : for any questions and comments.