Estás en: Panda Security > Usuarios Domésticos > Security Info > about-malware > encyclopedia > detalle

Enciclopedia de Virus

Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.

Happy
PeligrosidadDañoPropagación

Efectos

Happy es un gusano que produce los siguientes efectos:

Afecta a otros ordenadores por medio del envío de mensajes de correo electrónico.
Crea nuevos ficheros en el ordenador afectado, que le permiten capturar direcciones de correo electrónico y utilizarlas para el envío mensajes de correo.
Muestra una ventana que parece ser una felicitación, con un fondo de fuegos artificiales y con el mensaje: Happy New Year 1999.

Happy crea los siguientes ficheros en el directorio del sistema de Windows (por defecto, C:\ WINDOWS\ SYSTEM o C:\ WINNT\ SYSTEM32 ):

WSOCK32.SKA. El gusano utiliza este fichero para copiar el contenido de otro fichero (WSOCK32.DLL) que pertenece al sistema, dentro de sí mismo. WSOCK32.SKA captura las peticiones de envío de mensajes de correo electrónico (conexiones a Internet y envío de información).
SKA.DLL. Este fichero es una DLL (Librería de Enlace Dinámico), que se encuentra cifrada o codificada dentro del programa ejecutable que contiene el virus (HAPPY99.EXE).
SKA.EXE. Este fichero se ejecutará en los casos en que previamente estuviera en uso el fichero WSOCK32.DLL, es decir, otra aplicación distinta al propio virus estuviera utilizando este fichero sin dejar opción a que se realizara el proceso de infección, basado en la realización de tareas como la conexión a Internet y el envío de información que son responsabilidad de WSOCK32.DLL.
LISTE.SKA. En este fichero se almacenan las direcciones de envío del mensaje de correo infectado. Así, se evita el envío duplicado de los mensajes a los mismos destinatarios. La capacidad máxima para almacenar las direcciones de correo es de aproximadamente doscientos elementos.

Happy crea la siguiente entrada del Registro de Windows:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce=SKA.EXE
Con esta clave del Registro de Windows, el fichero SKA.EXE es ejecutado la próxima vez que se inicie, arranque o encienda el ordenador.

Happyutiliza las siguientes técnicas:

Ejecución automática. Happy se ejecuta automáticamente en cada arranque o inicio del sistema debido a que el fichero WSOCK32.DLL contiene una pequeña parte del código de infección del virus (con un tamaño adicional de 202 Bytes).
Redireccionamiento. El fichero de infección del gusano (HAPPY99.EXE) ejecuta las dos funciones desempeñadas por el fichero WSOCK32.DLL (EnumProtocolsW y WSAAsyncGetProtocolByName) que permiten la conexión a Internet y el envío de información. Mediante esta acción, el gusano es capaz de capturar y monitorizar los puertos de comunicaciones dedicados al correo electrónico (SMTP-25) y a los grupos de noticias (NNTP-119).

Happy es incapaz de propagarse cuando se encuentre en sistemas con Windows NT, ya que contiene fallos (bugs) que lo hacen imposible.
El fichero HAPPY99.EXE tiene un tamaño de 10 KBytes.
Happy contiene las siguientes cadenas de texto dentro de su código, aunque no son mostradas en ningún momento:
Is it a virus, a worm, a trojan? MOUT-MOUT Hybrid (c) Spanska 1999.
Happy New Year 1999 !!
begin 644 Happy99.exe end
\Ska.exe \liste.ska
\wsock32.dll \Ska.dll \Ska.exe
Dentro de los mensajes que provocan la infección, existe una información de tipo interna denominada: X-Spanska: YES.

Accesos rápidos

Servicio de Asistencia de Instalación

Nuestros expertos resuelven de forma remota: la instalación, activación, y configuración del antivirus.
[+] info

Servicio de Asistencia de Desinfección

Nuestros especialistas en desinfección eliminan por completo cualquier malware de tu equipo.
[+] info