Happy99

Ekranski prikaz vatrometa na računalu zaraženom crvom Happy99

Happy99 (poznat i kao Ska, I-Worm[1], Trojan.Happy99, Happy00 [2] W32/Ska.dll, W32/Ska.dll@m[3] i drugi) je kompjutorski crv koji je zaražavao računala koja su radila pod operativnim sustavom Windows (Windows 95, Windows 98, Windows NT[4]).

Prvi put se pojavio sredinom siječnja 1999., šireći se preko e-maila i Useneta. Crv bi se instalirao na računalo žrtve bez njezina znanja. Računala zaražena ovim crvom nalazila su se u Europi, Sjevernoj Americi i Aziji.

Crv se ne replicira u operativnom sustavu Windows NT.[5]

DefinicijaUredi

Paul Oldfiel je opisao Happy99 kao "prvi virus koji se brzo širio preko e-maila".[6] U Computer Security Handbooku, Happy99 je definiran kao "prvi moderni crv".[7] Happy99 je bio podloga za pravljenje ExploreZipa, također jednog od kompjuterskih crva.[8]

ŠirenjeUredi

Happy99 se prvi put pojavio 20. siječnja 1999.[9] Asia Pulse je prijavila 74 slučaja zaraze računala ovim crvom u Japanu tijekom veljače, i 181 slučaj u ožujku.[10][11] 3. ožujka 1999., poslovna tvrtka u Tokiju slučajno je poslala 4 000 kopija virusa koje su došle u 30 japanskih sveučilišta.[12]

Dan Schrader iz Trend Microa izjavio je da je Happy99 bio najčešće prijavljivani crv u njihovom sustavu tijekom mjeseca ožujka.[13] U travnju 1999. bilo je preko 16% zaraženih računala.[14] Sophos je naveo ovog crva na popisu top 10 virusa po broju prijava zaraze 1999.[15] Eric Chien iz Symanteca izjavio je Happy99 bio drugi najčešće prijavljivani crv u Europi 2000. godine[16], dok je Marius Van Oers iz Network Associatesa proglasio ovog crva "globalnim problemom", rekavši da je bio jedan od najčešće prijavljivanih crva 1999.[17]

Tehnički detaljiUredi

Poznat i kao Ska, Happy99 se širio preko e-mail privitaka i Useneta.[18][19][20]

Kada se Happy99 aktivira, na ekranu se prikaže animirani vatromet i poruka "Happy New Year 1999 !!".[2][18][21] Happy99 se sebe kopira kao Ska.exe te napravi extract datoteke Ska.dll u C:/Windows/System.[2] Crv promijeni datoteku Wsock32.dll (koja osigurava konekciju na Internet) kopiranjem postojeće datoteke Wsock32.dll u Wsock32.ska (mijenjanje datoteke Wsock32.dll omogućava pokretanje crva kada otkrije konekciju)[2] Sebe automatski stavi kao privitak (ime privitka je Happy99.exe) u svim sljedećim e-mailovima i newsgroup postovima koje korisnik pošalje.[22] Poruka ima e-mail adresu pošijatelja i primatelja, no sadržaj te poruke čini samo privitak Happy99.exe.[5] Primatelji primaju e-mail od poznate osobe i iz tog razloga otvaraju privitak s crvom.[5] Također, e-mail header ima novo polje koje se zove "X-Spanska: YES" (to polje nije vidljivo primateljima e-mail poruke).[5]

Happy99 mijenja ključ Windowsovog registrya (dodaje sljedeći ključ: HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce[2]) kako bi se automatski pokrenuo prilikom ponovnog podizanja sustava, a osim toga na tvrdi disk smješta nekoliko skrivenih datoteka.

U nekim slučajevima, program može uzrokovati pojavljivanje nekoliko poruka o greškama.[23] U njih spadaju sljedeće: Explorer caused an invalid page fault in module Mailnews.dll at 014f:62060a0f, MSIMN caused an invalid page fault in module unknown, Outlook caused an Invalid Page Fault in module Unknown, MSIMN caused an invalid page fault in module Inetcomm.dll te MSIMN caused an invalid page fault in module Kernel32.dll.[2] Happy99 je napisao francuski pisac virusa poznat kao "Spanska".[24] Tipično ovaj crv koristi port 25 kako bi se širio, ali ako je port 25 nedostupan, koristi port 119.[23] Happy99 čuva popis spamiranih e-mail adresa i newsgroupa na zaraženom tvrdom disku, u datoteci Liste.ska.

U sebi crv sadrži tekst koji se ne prikazuje:

Is it a virus, a worm, a trojan?
MOUT-MOUT Hybrid (c) Spanska 1999[5]

Vidi jošUredi

IzvoriUredi

  1. Roger A. Grimes (2001). Malicious Mobile Code: Virus Protection for Windows. Sebastopol, CA: O'Reilly. pp. 6. ISBN 1-56592-682-X.
  2. 2,0 2,1 2,2 2,3 2,4 2,5 Symantec informacije o virusu
  3. Mcafee
  4. George Skarbek (16 March 1999). "Tech talk - Happy99 Virus". The Courier-Mail.
  5. 5,0 5,1 5,2 5,3 5,4 F-secure.com
  6. Paul Oldfield (2001). Computer viruses demystified. Aylesbury, Bucks: Sophos. pp. 32. ISBN 0-9538336-0-7.
  7. Bosworth, Seymour; Kabay, Michel E. (2002). Computer security handbook. Chichester: John Wiley & Sons. pp. 44. ISBN 0-471-26975-1.
  8. Rosie Lombardi. "Microsoft's dominance plays a role", Computing Canada, objavljeno 2. srpnja 1999.
  9. Ellis, Juanita; Korper, Steffano (2001). The E-commerce book: building the E-empire. San Diego: Academic. pp. 192. ISBN 0-12-421161-5.
  10. 251 Cases of Computer Virus Damage Reported in Japan in Feb". Asia Pulse. 7 March 1999.
  11. Makoto Ushida (19 April 1999). "Cyberslice - Experts warn of lurking computer viruses". Asahi Shimbun.
  12. "Virus-tainted e-mail sent to 4,000". The Daily Yomiuri. 6 June 1999.
  13. Clint Swett; Eric Young (7 April 1999). "Tech Talk Column". The Sacramento Bee.
  14. (2000). "Virus Bulletin" pristupljeno 27. ožujka 2009.
  15. Old viruses live on". Adelaide Advertiser. 19 February 2000.
  16. "Virus variants put users at risk Users are at risk from new variants of popular viruses which can evade some antivirus protection". World Reporter TM. 6 March 2000.
  17. Deborah Scoblionkov. "Bigfoot Users Get a Hotfoot", Wired, objavljeno 2. ožujka 1999.
  18. 18,0 18,1 Chen, William W. L. (2005). Statistical methods in computer security. New York, N.Y: Marcel Dekker. pp. 272. ISBN 0-8247-5939-7.
  19. Michael J. Isaac; Isaac, Debra S. (2003). The SSCP prep guide: mastering the seven key areas of system security. New York: Wiley. pp. 0471273511. ISBN 0-471-27351-1.
  20. Roberta Fusaro. "Internet worm can crash corporate servers", CNN, objavljeno 29. siječnja 1999.
  21. Rubin, Aviel D. (2001). White-hat security arsenal: tackling the threats, str. 31, Boston: Addison-Wesley ISBN 0-201-71114-1
  22. Carrie Kirby (22 December 2000). "Holiday E-Mail Gives Viruses An Opportunity". San Francisco Chronicle.
  23. 23,0 23,1 Grover, Amit (August 2003). Application Adaptive Bandwidth Management Using Real-Time Network MonitoringApplication Adaptive Bandwidth Management Using Real-Time Network Monitoring (pdf), str. 77-78. pristupljeno 27 March 2009.
  24. Bob Sullivan. "Happy99.exe worm spreads on Net", ZDNet, objavljeno 27. siječnja 1999.