Se trata de un gusano, perteneciente a la familia Happy, que se encuentra incluido en la lista "In The Wild" y afecta a sistemas con Windows 95/98. En interesante dejar constancia de que este gusano será incapaz de propagarse cuando se encuentre en sistemas con Windows NT, ya que contiene fallos (bugs) que lo hacen imposible. Es uno de los gusanos más conocidos que se ha difundido a través de Internet, medio que éste utiliza para replicarse y propagarse utilizando para ello el envío de mensajes de correo electrónico que contienen un fichero ejecutable como documento adjunto (HAPPY99.EXE), sin que el usuario que envía el mensaje sea consciente de ello. Este gusano apareció en Enero de 1.999, en un principio a través de grupos de noticias, y mediante la difusión del mismo por e-mail se propagó por Europa y lo continúa haciendo.  

          Happy aprovecha la proximidad del fin de año para engañar al usuario, haciéndole creer que el mensaje que ha recibido es una felicitación por el nuevo año. Cuando I-Worm.Happy realiza su infección intenta distraer la atención del usuario presentando en pantalla una ventana que representa fuegos artificiales mientras, por otro lado, se dedica a actuar realizando sus acciones dañinas. No obstante, no realiza otras acciones adicionales que sean perjudiciales. 

          La característica principal de este gusano es el modo que emplea para su propagación, el cual le hace ser extremadamente rápido y le confiere un poder de infección sorprendente. Las acciones que éste realiza están encaminadas a enviarse a sí mismo por medio de mensajes de correo. 
  
  
Modo de propagación: 
  
          Como se ha comentado, el Happy es uno de los gusanos que mayor índice de propagación ha tenido en los últimos tiempos. Esto es debido a que emplea el correo electrónico para difundirse. En otros términos, el gusano se adjuntará o se incluirá automáticamente (por si sólo) a un nuevo mensaje de correo electrónico que éste crea y que enviará siempre que el usuario haya enviado otro.  

          El mensaje que envía el gusano no contiene texto en su cuerpo, sino únicamente el fichero correspondiente al gusano Happy. Si bien es cierto que contendrá un nuevo campo denominado "X-Spanska: YES", aunque el usuario receptor del mismo no lo visualizará. 

          El fichero que se incluye, sin conocimiento o consciencia por parte del usuario infectado, es el HAPPY99.EXE. Cuando se recibe el mensaje que incluye al gusano en su interior, no se levanta ninguna sospecha, ya que parece tratarse de una felicitación por el nuevo año. Es por ello por lo que el usuario que lo ha recibido, decide ejecutarlo. En ese momento, el gusano Happy produce la infección real. 

          Una vez que se ha producido esta infección, la tarea prioritaria de Happy99 es repetir el proceso de propagación enviándose a sí mismo (autoenviándose) a todas las direcciones de correo a las que el usuario infectado envíe un mensaje de correo adicional, incluyendo direcciones pertenecientes a listas de noticias. 

          Para evitar la infección, en caso de haber recibido uno de estos mensajes con el fichero HAPPY99.EXE, deberíamos eliminarlo directamente. En cualquier caso, es importante no abrir el mensaje que contiene el fichero HAPPY99.EXE como adjunto y mucho menos ejecutar dicho programa. 
  
 
Síntomas de infección: 

          Antes de llevarse a cabo la infección, Happy99 se puede reconocer. Esto es sencillo ya que si se observase un mensaje que contiene un fichero ejecutable denominado HAPPY99.EXE, estaríamos ante la prueba evidente de que el gusano ha llegado hasta nuestro ordenador. No obstante, la infección no se producirá hasta que el fichero no se ejecute. El consejo es eliminarlo. 

          Si de todas formas, intencionadamente o no, se ejecutase el fichero HAPPY99.EXE en ese momento se presentaría en la pantalla del ordenador una ventana. Esta llevará el título "Happy New Year 1999 !!", dentro de la cual se hará una presentación que simula el lanzamiento de fuegos artificiales. El gusano aprovecha este momento para distraer al usuario y realizar las operaciones pertinentes que le permitan posteriormente autoenviarse incluido en un mensaje adicional al del usuario, pero que se envía simultáneamente. 
  

 

          En su código, el gusano contiene una serie de cadenas de texto como las siguientes, algunas de las cuales se encuentran cifradas o codificadas: 

Is it a virus, a worm, a trojan? MOUT-MOUT Hybrid (c) Spanska 1999. 
Happy New Year 1999 !! 
begin 644 Happy99.exe end 
\Ska.exe \liste.ska 
\wsock32.dll \Ska.dll \Ska.exe

• Tiene una capacidad de 10 Kbytes.
• Se trata de un fichero ejecutable de formato PE (Win32 Portable Executable).
• Se instalará en sistemas con Windows 95/98.

          En primer lugar crea los ficheros SKA.EXE, SKA.DLL y WSOCK32.SKA en el directorio SYSTEM que colgará del directorio en el que se encuentra instalado Windows (C:\WINDOWS\SYSTEM). Después de haberlos creado, copia el contenido del fichero WSOCK32.DLL dentro del fichero WSOCK32.SKA que se acaba de crear y modifica el contenido del primero de ellos (la DLL) para ser capaz de capturar llamadas a mensajes de correo electrónico que se envíen y, de esta forma, propagarse. El fichero SKA.DLL se encuentra cifrado o codificado dentro del ejecutable HAPPY99.EXE. 

          En todo este proceso, puede darse la circunstancia de que la librería de enlace dinámico, WSOCK32.DLL se esté utilizando por alguna otra aplicación, y el gusano sea incapaz de utilizarla. En este caso, Happy creará una nueva clave en el Registro de Windows para que esta operación sea posible la próxima vez que se inicie, arranque o encienda el ordenador. Para que esto sea posible, la clave introducida en el Registro ejecutará el programa SKA.EXE en el siguiente arranque o inicio del PC. Dicha claves es la siguiente, con su correspondiente valor: 

          HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce=Ska.Exe

          Con respecto a las operaciones que el gusano realiza gracias a las modificaciones que incluye en el fichero WSOCK32.DLL, podemos enumerarlas: 

• Inicialización. Para que el gusano Happy se pueda iniciar en cada carga del sistema éste incluye dentro del fichero WSOCK32.DLL una pequeña parte de su código (con un tamaño de 202 Bytes) al final del mismo.

 
• Redireccionamiento. Happy99 ejecuta las dos funciones (EnumProtocolsW y WSAAsyncGetProtocolByName) desempeñadas por el fichero WSOCK32.DLL para permitir la conexión a Internet y envío de información. Mediante esta acción el gusano es capaz de capturar y monitorizar los puertos de comunicaciones dedicados al correo electrónico (SMTP-25) y a los grupos de noticias (NNTP-119).

          Además de los ficheros que se han comentado anteriormente Happy crea otro adicional en el mismo directorio (C:\WINDOWS\SYSTEM), denominado LISTE.SKA, que emplea para almacenar la dirección de envío del mensaje infectado y asegurarse de no reenviarse ninguna de ellas en varias ocasiones. En cada ocasión que se envíe uno de estos mensajes, Happy agregará la nueva dirección de envío al fichero, pudiendo contener éste cerca de 200 direcciones diferentes.
  
  
Cómo reparar los efectos producidos: 
  
          Este gusano apareció en Enero de 1.999, en un principio a través de grupos de noticias, y mediante la difusión del mismo por e-mail se propagó por toda Europa y lo continúa haciendo. 

          I-Worm.Happy se distribuye como un fichero ejecutable incluido o adjunto a los mensajes de correo electrónico. Cuando el fichero incluido en el mensaje se ejecuta, se crean los siguientes ficheros: SKA.EXE, SKA.DLL, LISTE.SKA y HAPPY99.EXE. Estos son componen el gusano propiamente dicho.  

          A continuación, crea una copia de WSOCK32.DLL. Es importante resaltar que el gusano no se elimina borrando uno de estos ficheros.  

          Cada vez que se detecta el envío de un mensaje a una dirección, por primera vez (desde la instalación del virus), I-Worm.Happy envía automáticamente otro mensaje vacío de contenido. En él incluye el fichero HAPPY99.EXE (el propio gusano) como fichero adjunto. 

          Se evita mandar dos veces el fichero, a una misma dirección. En concreto, el gusano puede comprobar si ha infectado a alguien abriendo el fichero LISTE.SKA con cualquier editor de texto.  

          La infección sólo posible si se ejecuta el fichero HAPPY99.EXE.

          Siga los siguientes pasos para proceder a la desinfección de I-Worm.Happy:

• Analice el disco duro con el Antivirus, incluyendo en el análisis todas las extensiones y archivos comprimidos. 
• El antivirus detectará I-Worm.Happy en los siguientes 3 tres ficheros: SKA.EXE, SKA.DLL y HAPPY99.EXE.
• El antivirus le ofrecerá la posibilidad de borrar estos ficheros, ya que éstos son los que componen el virus en cuestión. 
• Compruebe si el fichero WSOCK32.SKA se encuentra en su equipo.  
• Si el fichero anteriormente citado existe, será necesario borrar el archivo WSOCK32.DLL y cambiar el nombre del fichero WSOCK32.SKA por WSOCK32.DLL (ya que el virus ha hecho una copia). Si este fichero no existe deberá omitir este paso.

• Reinicie el equipo en MS-DOS. Para hacer esto pulse el botón Inicio.
• A continuación, elija la opción Apagar el sistema y seleccione Reiniciar el equipo en modo MS-DOS.
• Sitúese en el directorio C:\Windows\System.
• Si se encuentra en el directorio C:\Windows, teclee CD System y pulse intro.
• Una vez en C:\Windows\System teclee DEL WSOCK32.DLL y pulse intro.
• A continuación escriba REN WSOCK32.SKA WSOCK32.DLL y pulse intro.