LA NACION

Cuidado con el gusano Happy99

Parece una ventanita con lindos fuegos artificiales, pero en realidad altera el Winsock y cada vez que use el correo enviará mail en su nombre con el gusano adosado. De happy no tiene nada.

  • icono tiempo de lectura1 minuto de lectura'
Actualizado el 14 de julio de 2022

Felicidades, usted acaba de ser infectado por el más reciente de los gusanos informáticos, el Happy99.exe (9,76 KB). Le apuesto algo: a usted le encantó que lo infectaran. Y algo más: el que le envió el Happy99.exe no tenía ni idea de lo que estaba haciendo.

Si usted no practica computación segura, es bastante probable que en estos días haya recibido este gusano, lo haya ejecutado y haya disfrutado de unos muy lindos fuegos artificiales, la fachada del programa.

Pero mientras transcurría el divertido show, el software estaba haciendo algo tras bambalinas: extrajo un ejecutable y una biblioteca de vinculación dinámica y los grabó en el directorio System de Windows. El ejecutable se llama ska.exe (¡pero qué originales!) y la biblioteca, ska.dll (poco originales por duplicado).

Muy bien. El troyano ahora dispara el ska.exe y éste renombra el Winsock ( wsock32.dll ) como wsock32.ska (por triplicado, ya). Hecho esto, produce cambios en el wsock32.dll original de tal modo que toda vez que detecte actividad de correo o grupos de noticias, se generará un nuevo mensaje de e-mail o noticia de Usenet con el gusano Happy99.exe adosado. Luego, enviará el mail o la noticia de Usenet y usted quedará como un simpático usuario que quiere quedar bien con sus amigos, parientes y clientes. Hasta que lean esta columna, por supuesto.

Muchos de ellos, confiando en usted, ejecutarán el Happy99.exe y la próxima vez que usen el correo o el lector de noticias, estarán enviando el gusano.

Es, en suma, un programa que atenta contra el ancho de banda y el espacio en los servidores de correo, haciendo que se envíen decenas de miles de copias. No hace sino reenviarse a sí mismo por correo electrónico o por Usenet, produciendo una suerte de reacción en cadena bastante típica.

Cómo eliminarlo

Por supuesto, con la actualización correspondiente, varios antivirus son capaces de detectar este gusano y limpiarlo de la máquina. Pero no es en realidad demasiado difícil hacerlo a mano y le aconsejo que, si alguna vez ejecutó el Happy99 , lo elimine ya mismo. Encienda su PC, ponga el suplemento junto al teclado y siga estos pasos.

Vaya al botón Inicio y elija Buscar/archivos o carpetas (o apriete la tecla de la ventanita y la letra F ). En el cuadro de diálogo Buscar escriba ska.exe , punto y coma , ska.dll , punto y coma y wsock32.dll . Debería verse: ska.exe;ska.dll;wsock32.dll Si está infectado por el Happy99 deberían aparecer los tres archivos. Si no está infectado, sólo verá el wsock32.dll y no necesita hacer nada más. (Si está seguro de haber ejecutado el Happy99 , debe buscar mejor el ska.exe y el ska.dll .) Si aparecen los tres archivos, bórrelos arrastrándolos a la papelera de reciclaje. El problema es que con esto elimina el Winsock de 32 bit de Windows y ya no podrá conectarse a Internet.

Pero no se asuste. Por alguna extraña razón, el autor de este gusano ha tenido la deferencia de guardar el Winsock original ( wsock32.dll ) con otro nombre, como dijimos antes. Así que todo lo que queda por hacer es buscar el wsock32.ska y ponerle wsock32.dll . Si esta solución no lo deja tranquilo, puede restablecer el wsock32.dll tomándolo del archivo Precopy1.cab del CD-ROM de Windows 98 o de win95_11.cab del CD de Windows 95.

Si usted ejecuta el Happy99.exe mientras está conectado, el Winsock estará en uso y el ska.exe no lo podrá alterar. Así que el Happy99 echa mano del Registro para realizar un truco más o menos común en troyanos y gusanos. Crea una entrada en la subclave Hkey_Local_Machine\Software\Microsoft\Windows\CurrentVersion\RunOnce , añadiendo allí el ska.exe para que se inicie la próxima vez que usted encienda el equipo.

Como no podemos estar conectados a la Internet cuando la máquina arranca, el Winsock estará libre para que el ska.exe haga sus maldades.

Si por casualidad acaba de recibir el Happy99 , lo ejecutó sin desconectarse de Internet y todavía no ha apagado la máquina, alcanzará con borrar esa entrada del Registro para salvarse de la infección. De hecho, la existencia de ska.exe en RunOnce es una prueba bastante segura de que el gusano no pudo alterar (de momento) el Winsock, y espera hacerlo en el próximo arranque de Windows.

Una vez que se haya sacado de encima este gusano (que no es el primero y seguramente no será el último) tome una hoja de papel y escriba mil veces: "No debo ejecutar programas que recibo por e-mail". Hablando en serio, no ejecute nunca .EXE o .COM que le llegan por correo, y se evitará disgustos.

Por Por Eduardo Dahl
Conforme a
The Trust Project
Más leídas de Tecnología
  1. Cómo saber si alguien entró a tu cuenta de WhatsApp y qué hacer para evitar hackeos
    1

    Cómo saber si alguien entró a tu cuenta de WhatsApp y qué hacer para evitar hackeos

  2. Cómo activar el "modo lagartija" en WhatsApp
    2

    Cómo activar el “modo lagartija verde” de WhatsApp

  3. Así son los dispositivos que llevás con vos y recuerdan todo lo que te dicen, decís y ves
    3

    La IA como testigo: así son los dispositivos que llevás con vos y recuerdan todo lo que te dicen, decís y ves

  4. El laboratorio que resguarda la computadora más poderosa del mundo en el lugar más frío del universo
    4

    Willow: el laboratorio que resguarda la computadora más poderosa del mundo en el lugar más frío del universo

Cargando banners ...