61歳パソコン教師の日記 NO.044 (2000.2.8)


昨夜は全ての周辺機器のセッティングを終え、12時に就寝。40時間ぶりの睡眠ですので8時まで爆睡しました。

朝から戴いたメールのチェックをしていますが、幸い、"HAPPY99.EXE" を受信されたという人は他にはいないようなので一安心といったところです。

日曜日の午後に私からのメールを受信された方の中には、同じメールを何通も受信された人が何人もおられるようです。メールを送信中にフリーズしてしまい、送信トレイにはメールが残ったままなので、送信失敗と考えて何度も同じことを繰り返したのです。ご迷惑をお掛けして申し訳ありませんでした。お詫び申します。

このマガジンの読者の「佐藤 駿さん」「ABIさん」「masamitsu.sanoさん」から、このウィルスの対応策情報が寄せられました。皆さん、ありがとうございました。

ウイルス名は "TROJ_SKA"、別名は"HAPPY99.EXE"、"HAPPY00.EXE"、"W32/SKA" というそうです。ウイルスの種類は「トロイの木馬型」だそうです。聞いたことがありますね。そのメールを削除しただけでは駄目なのだそうです。

アメリカで 1999/1 に初めて発見されたのが "HAPPY99.EXE"、すでに「Y2k」バージョンの "Happy00.exe" も出まわっているそうです。

受信されると、別名で自分の複製を作ってシステムに入り込み、メールが送信されるのを覗っています。メールが送信されると、"HAPPY99.EXE" が添付されたメールが、同じ送信者名で一緒に送信されます。受信されると、そこでも同じことを繰り返します。このようにして他のマシンに増殖を広げて拡散していきます。

この行為は、送信されるメール全てに対して行われるのではありません。私はここ数日の間に、100通以上のメールを送信していますが、連絡があったのはお二人だけです。また、OS が Windows95/98 のマシンでのみ活動するそうです。

【受信した場合の対策】

  1. HAPPY99.EXE が添付されたメールを削除します。

  2. Windows の Systemフォルダに存在する下記の3個のファイルを削除します。

    SKA.EXE
    SKA.DLL
    LISTE.SKA

  3. Windows を SAFE MODE で起動して、WSOCK32.DLL を削除します。

  4. Windows の System フォルダに存在する WSOCK32.SKA というファイルの名を WSOCK32.DLL という名に変更します。

    ※ 2 〜 4 を MS-DOS MODE で行う場合のコマンドは下記の通りです。

    cd c:\windows\system
    del ska.exe
    del ska.dill
    copy wsock32.ska wsock32.dll
    del wsock32.ska
    (del liste.ska)
    exit
【ウイルス関連ホームページ】

http://inet.trendmicro.co.jp/contents/virusency/default3.asp?VName= TROJ_SKA

http://www.ipa.go.jp/SECURITY/topics/ska.html

http://www.symantec.com/region/jp/sarcj/data/h/happy99worm.html