Энциклопедия компьютерных вирусов
I-Worm.Happy
Первый "современный" Интернет-червь (Internet Worm), обнаруженный "в живом виде". Червь не использует дисковые файлы как основные объекты для размножения и распространения своих копий, а рассылает свой код в сеть Интернет в виде вложений в электронные письма. Червь был "выпущен на волю" в январе 1999 (предположительно автором червя) - зараженные письма были разосланы на несколько Internet-серверов новостей. Через несколько дней сообщения о зараженных компьютерах были зарегистрированы в Европейских сетях Internet.
Червь распространяется как вложенный в письмо EXE-файл с именем HAPPY99.EXE. При запуске этого файла червь вызывает видео-эффект, напоминающий фейерверк, и поздравляет с Новым 1999 годом. Помимо этого червь вызывает процедуру инсталляции своего кода в систему: копирует себя в системный каталог Windows, перехватывает функции работы с Интернет, конвертирует свой код в формат почтового вложения и добавляет его к отсылаемым письмам. То есть червь, инсталлированный в систему, рассылает свои копии в Интернет по всем адресам, на которые пользователь посылает свои сообщения.
При инсталляции в систему червь изменяет только файлы в системном каталоге Windows: создает в этом каталоге файлы SKA.EXE и SKA.DLL; сохраняет файл WSOCK32.DLL с именем WSOCK32.SKA и дописывает сегмент своего кода в файл WSOCK32.DLL. В некоторых случаях червь также регистрирует файл SKA.EXE в системном реестре (см. ниже).
