---------------------------------------------------------------------

Aqui vai uma materia de como tirar o HAPPY99!!!!


Reportagem no jornal O Globo, seção Informática etc., coluna C@T,
08/02/99

Ainda sobre e-mail, vale alertar a leitora quanto ao vírus HAPPY99.EXE.
Se você receber um arquivo anexado com este nome, não o execute. Se já o
tiver feito, terá apreciado em sua telinha um belo show de fogos de
artifício, mas a essa altura já terá sido infectada. Este vírus é do
tipo bonzinho, pois não causa destruição e até deixa pistas indicando
que outros usuários terão sido infectados por você, sem você saber. Isso
mesmo. Sem saber, você começa a enviar mensagens para seus amigos
contendo um attachment que traz o vírus. 

O HAPPY99.EXE cria dois arquivos no diretório Windows System: SKA.EXE e
SKA.DLL.. O SKA.EXE é uma cópia do HAPPY99.EXE, que salvará seu arquivo
WSOCK32.DLL com o nome WSOCK32.SKA. Este DLL é um componente regular do
Windows que provê comunicação com a Internet. Se ele não conseguir
adulterar o seu WSOCK32.DLL original, vai adicionar o maldito SKA.EXE à
seção RunOnce do seu Registry, de modo que seu WSOCK32.DLL será
modificado na próxima ocasião em que o sistema for inicializado. Esta
versão modificada do WSOCK32.DLL fará silenciosamente o attachment de um
HAPPY99.EXE a uma segunda cópia de mensagens enviadas via email ou como
artigos para um newsgroup Usenet. Os e-mails dos pobres coitados que
receberem essas mensagens contaminadas ficarão registrados num arquivo
chamado LISTE.SKA, residente no diretório Windows System. 

Se quiser ter certeza de que uma mensagem recebida contendo este
attachment está infectada, basta investigar os headers. Se lá encontrar
o item "X-Spanska: Yes", é contagiosa mesmo. 

Ao contrário do que já se falou por aí, este vírus não rouba passwords.
Não causa nenhum mal ao seu sistema, a não ser o show de fogos e um
pequeno atraso nas operações de e-mail. Pode eventualmente degradar seu
servidor de mensagens, pois ele aumenta a carga de e-mail enviado por
você, com as mensagens duplicadas e enviando o tal attachment. Outro
perigo: à medida que o HAPPY99.EXE se espalha, outros vírus poderão se
pendurar nesse executável ao longo do caminho. Quem usa Win3.X, DOS ou
Mac, não precisa se preocupar, pois ele é inerte nesses ambientes. 

Se alguém de má-fé mudar o nome do bicho de HAPPY99.EXE para outra
coisa, você vai dançar. Portanto, é bom atualizar seu antivírus, pois o
pessoal já está oferecendo detectores apropriados. O da McAfee pode ser
encontrado em
<http://beta.nai.com/public/datafiles/valerts/vinfo/w32ska.htm>. 

Apenas para quem quiser fuxicar a fundo, o programa traz o seguinte
texto encriptado: "Is it a virus , a worm, a trojan? MOUT-MOUT Hybrid
(c) Spanska 1999." Esse tal de Spanska certamente está se divertindo à
beça com seu simpático vírus, que é bem bolado, aparentemente não faz
mal algum e ainda mostra um show de fogos. 

Limpar o sistema é moleza e leva cinco minutos. Para remover o
organismo, considerando que você usa Win95 em inglês, clique Start,
depois Shut Down e depois "Restart Computer in MS-DOS mode", clicando
Yes em seguida. Ao prompt do DOS, digite "CD \WINDOWS\SYSTEM" sem as
aspas. Depois delete os dois arquivos com: "DEL SKA.EXE" e "DEL
SKA.DLL". Em seguida restaure o seu wsock32, com: "COPY WSOCK32.SKA
WSOCK32.DLL", dizendo Yes para o overwrite. Para manter a casa limpa:
"DEL WSOCK32.SKA". Volte para o Windows, digitando EXIT. 

Para terminar, clique Start, depois Run e digite REGEDIT na caixinha de
texto, clicando OK em seguida. Clique em HKEY_LOCAL_MACHINE, depois em
Software, depois Microsoft, então Windows e depois CurrentVersion.
Clique RunOnce, procure por SKA.EXE e selecione-o se ele lá estiver.
Pressione DEL e clique Yes. Pode fechar o REGEDIT. 

Se tiver o arquivo LISTE.SKA no diretório Windows System, abra-o e avise
às pessoas que lá constarem. Elas já terão recebido mensagem sua com um
attachment com o HAPPY99.EXE. Para outras informações, visite a
excelente página do Chris Stubbs em
<www.geocities.com/SiliconValley/Heights/3652/SKA.HTM>. Agradecimentos
especiais a José Antonio Cosenza <[EMAIL PROTECTED]> e a Walter
Ohtsuki <[EMAIL PROTECTED]>, que me rolaram a dica meia
hora depois de eu ter visto os fogos de artifício...


              [],
                 1.000ton
 ________________         _      
 \__(=======/_=_/ ____.--'-`--.___   Visite Minha Home Page:
            \ \   `,--,-.___.----'   http://users.sti.com.br/yamato
          .--`\\--'../               http://users.sti.com.br/stoledo
         '---._____./]               http://sites.uol.com.br/filpo
                                     http://users.sti.com.br/gtraxx
 Nós saudamos as estrelas            http://www.fconline.net
          
Eu acreditava no sistema... até que formataram minha família


---------------------------------------------------------------------
Redirecionamento de domínio? Visite http://www.dominiosbrasil.net e conheça a mais 
recente novidade da Internet Brasileira.
---------------------------------------------------------------------

Responder a