特徴

これはワームに分類される破壊プログラムです。ネットワークや電子メール、ニュースグループを通じて他のマシンに感染を広げていくタイプで、ローカルマシン内で他のファイルに感染することは ありません。このウイルスは、一度プログラムを実行してマシンに感染すると、WindowsのSystemフォルダ（NTではWinnt）にプログラムを潜ませ、その後新規メールをユーザが送信するたびに、すべてのSMTPメールに｢Happy99.exe｣という名前のファイルを自動的に添付することによって、ユーザが知らないうちに感染を広げ ます。

オリジナルファイル名は「Happy99.exe」という名前｡Windows 32Bit環境でのみ動作可能｡2000年には「Happy00.exe」も登場。

このファイルを実行すると､“Happy New Year 1999!!”というメッセージが表示され、同時に新しいウィンドウが現れて花火の画像を表示 します。これはウイルスの動作からユーザの目をそらすための細工であると考えられます。

感染方法

このウイルスファイルが実行されると、WindowsのSystemフォルダに｢ska.exe｣という名前で自分自身の複製を作成する｡このWindowsのSystemフォルダに、“ska.dll”という名称のファイルがあるかどうかを確認し、見つからない場合は“ska.exe”から“ska.dll” というファイルを展開します｡

次に、WindowsのSystem フォルダ内に､“WSOCK32.ska”ファイルがあるかどうかを確認。この名前のファイルが見つからない場合は､“WSOCK32.dll”　　を“WSOCK32.ska”という名前で複製して保存 します｡

さらに“WSOCK32.dll”を修正し “EnumProtocolsW” と“WSAAsyncGetProtocolByName”というエクスポート関数へのフックを追加｡これらはウイルス自身の関数を指してい ます｡

実行時に“WSOCK32.dll”がWindowsによって使用中の場合は、ウイルスが以下のキーをレジストリに付け加え ます｡
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows
\CurrentVersion\RunOnce
Ska.exe="Ska.exe"

これにより､次回マシンを起動したときに一度だけ“SKA.exe”を実行し、“WSOCK32.dll”を他のアプリケーションが使用する前に修正しま す｡

“connect”と“send”エクスポート関数を修正された“WSOCK32.dll”は、マシンがネットワークに接続しメールを送信するなどの動作を監視 します。メールやニュースグループへ投稿する際にこれらの関数が呼び出されると、“mail”と“news”という２つのエクスポート関数をもつ｢ska.dll｣がロードされ ます｡これにより､｢ska.exe｣をUuencode形式でエンコードした｢Happy99.exe｣を自動的に添付して送信させ ます｡

備考

このska.exeファイルは「Happy99.exe」の複製で すが、これ自身を実行しても花火の画像を表示することはありません。ただ“WSOCK32.dll”を修正するだけです｡