Happy99.exeウイルス感染体験 花火のウィンドウ画面が表示される症状

イメージ 5

だいぶ前の1999年1月に登場した

Happy99
(ハッピー・ナインティーナイン)

という Windows 向け コンピュータウイルス(脅威の分類では ワーム) を手元で起動して感染体験してみました。

イメージ 1
アイコンもない Windows 向け実行ファイル
拡張子 .exe)

これは15年以上も前の ”化石” ウイルスなので、今現在は蔓延してません。


実行ファイル .exe を起動すると…

Happy99.exe ファイルを起動するとどうなる?

縦長の長方形のウィンドウ画面が出現して、その画面内では 花火 が爆発して飛散し火の粉が落ちるという、アニメーションが表示されます。 <ハッピー?

イメージ 2
花火が上がって新年のお祝い?
Happy99ウイルス発病画面

花火や火の粉といっても、それを ドットの点 で単に再現しているだけで、グラフィックス描画的に見とれてしまうとは言い難いです。 <綺麗?

ウィンドウのタイトルは 『Happy New Year 1999 !!』 となっていて、1999年の新年おめでとうとお祝いしますが、これはあくまで表面的な症状です。

Happy99 の目的は? 自分自身の拡散

今ではとても考えられないけど、Happy99 は感染パソコンから重要な情報を盗んだりする金目当ての挙動は特にありません。

ワームとして、とにかく Happy99 自身の拡散を試みる以上の機能は存在しません

Happy99 ウイルスに巡り合ったユーザーさんのリアル体験話を拾ってみました。

ウイルス感染記 1999年4月25日
http://www.jasnaoe.or.jp/k-senior/old/DOC/Virusmemo.html

第26回 「Happy 99をGET!」ほぼ日刊イトイ新聞 - 総武線猿紀行
https://www.1101.com/saeki/archive/1999-04-24.html

ウイルスにご注意を
http://www.geocities.co.jp/SiliconValley-SanJose/3588/contents/happy99.htm

懐かしのウィルス Happy99 : 湘南のJOHN LENNON Those were the days
http://qunny1130.exblog.jp/5582805/

番外.『 コンピュータ・ウイルス 感染記』 Zakkaya Weekly No.145
http://www.zakkayanews.com/zw/zw145.htm

ハッピー99 ウィルスに感染か?
http://web.archive.org/web/*/page.freett.com/tukasa2/happy.html

Happy99.exe って何? ウィルス? | WebBoard Windowsの部屋
http://www.host.or.jp/cgi-win/webboard/wb_cont.exe?windows+g+20007+NAME

ウイルス感染始末記
http://ykousaka.world.coocan.jp/virus.htm

MCMRつれづれ日記(03月21日号)
http://mazin07.com/srw-fan/srw-fan/990321.html

ウイルス!?
http://tenjin.coara.or.jp/insider/2000/6gatu/0606_2/

Happy99届く(2000/10/30) 元脱サラ調査士 身辺雑記
http://www.asakaze.net/datusara/zakki.html#011

ウイルスの部屋 はじめてコンピューターウイルスに遭遇!
http://www.factorytakayama.net/uirusu.htm

1998年度近況報告 1999/03/03 自宅のコンピュータがウィルスに感染してしまいました。
http://www.cc.kyoto-su.ac.jp/~yamadaka/data/teacher-kinkyo98.htm

女性システム管理者の憂鬱:ウイルス作者もびっくりの強力な応援団 - ITmedia
http://www.itmedia.co.jp/enterprise/articles/0609/14/news007.html

知り合いから、添付ファイル Happy99.exe が付いたメールが届く!?

そんなシチュエーションなので、躊躇せず実行ファイルを踏み抜いて、『花火が上がる面白いソフトを友人が送ってきた』 と勘違いする Windows ユーザーさんが当時は出現したようです。 


システムフォルダにドロップされたファイル

Happy99.exe ファイルは、どこかに落ちていたのをユーザーがダウンロードするのではなく感染経路に特徴があります。


【1】

花火が表示されてる裏側で、Windows のシステムフォルダーのライブラリ wsock32.dll ファイルを改ざんする

※ 当時はともかく、今現在の Windows XP/7/18 環境では、システムフォルダー内にある重要なファイルを容易に改ざんできないようになってる


【2】

メールの送信ニュースグループへの投稿 が行われたタイミングで、1通目は正当なメール、その2通目として Happy99.exe 付きのウイルスメールが同一の宛て先へ配信される

イメージ 3

Happy99.exe
└ C:\Windows\System32\Ska.dll
 (fa07ac402dc38940e92270b62d1b2fd8)
└ C:\Windows\System32\Ska.exe
 (3860daa15877e99fc9ba961d9f1b0aca)
└ C:\Windows\System32\wsock32.dll ← 改ざんDLL
└ C:\Windows\System32\wsock32.ska ← 復旧用のオリジナルDLL

※ コレ以外にもハッシュ値が異なる Happy99.exe アリ


Happy99 の開発者は? おフランス生まれ

Happy99 ワームは。フランス人のウイルスプログラマーが開発した プログラム作品 の1つで、開発者はソースコードも公開してます。

イメージ 4
Happy99 ソースコードの冒頭部

この時代は、コンピュータウイルスの目的が、開発者の牧歌的な技術誇示です。

ランサムウェア(身代金型ウイルス) や ネットバンキングウイルス のように お金を生み出す真っ黒ビジネスでコンピュータウイルスが暗躍する世界 が訪れる、Happy99 が生まれてから5年ほど過ぎたあたりでしょうか?


セキュリティ関連情報

W32/Ska(Happy99)に関する情報 - IPA 情報処理推進機構
https://www.ipa.go.jp/security/topics/ska.html

Worm:Win32/Ska.A@m - Microsoft Malware Protection Center
https://www.microsoft.com/security/portal/threat/encyclopedia/Entry.aspx?Name=Worm:Win32/Ska.A@m

【ウイルス検出名】
AVG Worm/Generic2.BYYT
Avira TR/Happy99/SKA
avast! Win32:Ska
ESET Win32.Ska
K7 Riskware ( 0040eff71 )
Kaspersky Email-Worm.Win32.Happy
McAfee W32/Ska@M
Microsoft Worm:Win32/Ska.A@m
Symantec Happy99.Worm
Trend Micro WORM_SKA.A

関連するブログ記事