Однажды я получил письмо, в которое был вложен файл Happi99.exe. Я сохранил этот файл и запустил его на исполнение. Теперь он автоматически прикладывается ко всем исходящим письмам, не спрашивая, хочу ли я этого или нет. Как с ним бороться?

Happi99.exe - это первый "современный" Интернет-червь (Internet Worm), обнаруженный "в живом виде". Червь не использует дисковые файлы как основные объекты для размножения и распространения своих копий, а рассылает свой код через сеть Интернет в виде вложений в электронные письма. Червь был "выпущен на волю" в середине января 1999г. (предположительно автором червя) - зараженные письма были разосланы на несколько Internet-серверов новостей. Через несколько дней сообщения о зараженных компьютерах были зарегистрированы в Европейских сетях Internet.'то вирус. Распознает его антивирусный пакет McAffe.

Червь распространяется как вложенный в письмо EXE-файл с именем HAPPY99.EXE. При запуске этого файла червь вызывает видео-эффект, напоминающий фейерверк, и поздравляет с новым 1999 годом. Помимо этого червь вызывает процедуру инсталляции своего кода в систему: копирует себя в системный каталог Windows, перехватывает функции работы с Интернет, конвертирует свой код в формат почтового вложения и добавляет его к отсылаемым письмам. То есть червь, инсталлированный в систему, рассылает свои копии в Интернет по всем адресам, на которые пользователь посылает свои сообщения.

При инсталляции в систему червь изменяет только файлы в системном каталоге Windows: создает в этом каталоге файлы SKA.EXE и SKA.DLL; сохраняет файл WSOCK32.DLL с именем WSOCK32.SKA и дописывает сегмент своего кода в файл WSOCK32.DLL. В некоторых случаях червь также регистрирует файл SKA.EXE в системном реестре.

Удаление:

I. Удалите файлы SKA.EXE и SKA.DLL из системного каталога Windows:

1. Откройте папку Windows\System
2. Найдите файлы SKA (или SKA.EXE в режиме MS-DOS) и SKA.DLLl. Если Вы не видите эти файлы, то включите в "Проводнике" в меню "Свойства папки"|"Вид" опцию "Показать все файлы".
3. Удалите файлы SKA.EXE и SKA.DLL.

II. Замените файл WSOCK32.DLL на его незараженную копию WSOCK32.SKA.

1. Перезагрузите компьютер в режиме MS-DOS посредством кнопки "пуск" - "завершение работы".
2. После перезагрузки перейдите в ситемный каталог, для этого в командной строке напечатайте
   
   CD \WINDOWS\SYSTEM
   
   и нажмите "Enter". Если ничего не получилось, на напечатайте
   
   CD SYSTEM
   
   и нажмите "Enter". Скопируйте WSOCK32.SKA в WSOCK32.DLL посредством команд
   
   COPY WSOCK32.SKA WSOCK32.DLL
   ATTRIB -R WSOCK32.DLL
   
   На вопрос системы "Overwrite WSOCK32.DLL ?" ответьте Yes (одну букву Y). Теперь Вы можете удалить файл WSOCK32.SKA, но НЕ делайте этого, если Вам не удалось заменить файл WSOCK32.DLL файлом WSOCK32.SKA ! Вернитесь в Windows посредством ввода команды
   
   EXIT
   
   и нажмите "Enter".
3. НЕОБЯЗАТЕЛЬНЫЙ ПУНКТ. Запустите редактор системного регистра: кнопка "Пуск" | команда "Выполнить" | regedit зайдите в раздел HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce и посмотрите, есть ли здесь строчка SKA.EXE. Если есть, то поставьте на ней курсор мыши и нажмите кнопку DEL.

III. Удалите файл Happi99.exe с диска вашего компьютера. Для этого воспользуйтесь поиском, чтобы его локализовать. В системной папке Windows\System также может быть файл liste.ska. Его можно открыть с помощью Блокнота и прочитать список адресов электронной почты, которым Вы отослали вирус. После того, как Вы завершите вычищение вируса из своей системы, Вы, возможно, решите написать всем этим людям. Файл этот, сохранив список адресов в другом месте, нужно удалить.

IV. Удалите все сообщения в вашем почтовом ящике, содержащие вложение Happi99.exe . ОБЯЗАТЕЛЬНО проверьте папку "Удаленные", "Черновики" и "Отосланные" !

Предупреждение:

Для дальнейшей защиты компьютера от данного червя достаточно установить атрибут "только для чтения" у файла WSOCK32.DLL; червь не сможет заразить систему, поскольку он не обрабатывает атрибуты файлов. Для этого

1. Перезагрузите компьютер в режиме MS-DOS посредством кнопки "пуск" - "завершение работы".
2. После перезагрузки перейдите в ситемный каталог, для этого в командной строке напечатайте
   
   CD \WINDOWS\SYSTEM
   
   и нажмите "Enter". Если ничего не получилось, на напечатайте
   
   CD SYSTEM
   
   и нажмите "Enter".
   
   ATTRIB -R WSOCK32.DLL
   
   Вернитесь в Windows посредством ввода команды
   
   EXIT
   
   и нажмите "Enter".

P.S. Ни в коем случае не следует запускать файл HAPPY99.EXE вне зависимости от того, откуда он был получен!

P.P.S. В файловом архиве МАРК-ИТТ есть "лечилка" от Happy99 [http://www.mark-itt.ru/bbs-bin/getfile/H99Clean.exe?/m/pub/windows95/antivirus/H99Clean.exe]