Happy99.Worm, ou Win32/Ska

ALIAS: Ska, TYPE: Ver, Cheval de Troie.
Ce n'est pas un virus, il ne peut rien faire tout seul.
Systeme: Windows 95/98 uniquement.

C'est un ver, pas un virus. C'est un programme (en général HAPPY99.EXE) qui est envoyé en attachement par e-mail ou dans les articles sur USENET.

Pour qu'il fonctionne, il faut que l'utilisateur le lance. Si on efface ce fichier, tout redevient normal. A l'exécution, il ouvre une fenêtre ("Happy New Year 1999 !!") dans laquelle il affiche un feu d'artifice. Pendant ce temps, il s'installe :

• création de SKA.EXE et SKA.DLL dans le répertoire \WINDOWS\SYSTEM.
• Sauvegarde de WSOCK32.DLL (fichier de Windows 95/98 qui sert à la connexion internet) sous le nom WSOCK32.SKA
• Modification du WSOCK32.DLL d'origine.

Cette modification de WSOCK32.DLL lui permet de détecter les connexions et les envois de données. Le fichier SKA.DLL est alors chargé, et un nouveau courrier électronique ou un nouvel article est envoyé, avec le fichier HAPPY99.EXE en attachement.

Le virus tient aussi à jour la liste des adresses contactées dans le fichier \WINDOW\SYSTEM\LISTE.SKA.

Désinfection manuelle Il faut d'abord redémarrer l'ordinateur en mode MS-DOS. Tapez ensuite précisément les commandes suivantes à l'invite du DOS : C:\WINDOWS>cd system C:\WINDOWS\SYSTEM>del wsock32.dll C:\WINDOWS\SYSTEM>ren wsock32.ska wsock32.dll C:\WINDOWS\SYSTEM>del ska.* C:\WINDOWS\SYSTEM>del *.ska C:\WINDOWS\SYSTEM>win fichier modifié par Ska on récupère l'original et on efface les restes. Si cette ligne donne une erreur, ce n'est pas grave. Il faut ensuite effacer le fichier téléchargé, HAPPY99.EXE Pour vérifier si un ordinateur est infecté ou pas, il suffit de s'envoyer un courrier. Si le courrier arrive seul, l'ordinateur est propre. S'il revient accompagné d'un deuxième courrier d'environ 10 Ko, Ska est toujours là !