Gå til innhold

Happy99.exe


Åge Olsen

Anbefalte innlegg

Kan være noe skumelt dette og:

 

Forkledd som support-melding

År 2000-trojaner kaprer passord

Offentliggjort: I dag kl 09:42. Sist endret: I dag kl 10:49

Oslo (21.09.99) - I Storbritannia er det spredd et e-post-vedlegg som utgir seg for å være et nedtellingsprogram mot år 2000 fra Microsoft. Vedlegget er en trojaner som kaprer brukernavn og passord.

Det understrekes at e-post-meldingen har fulgt en bane gjennom Internett som gjør at den umulig kan stamme fra Microsoft. Som vanlig med ondsinnet kode har denne "År 2000-trojaneren" allerede fått flere navn: Y2KCount, Polyglot, Count2K og så videre. Den fungerer bare under Windows 95 og 98.

Ifølge en analyse lagt ut på nettstedet til Data Fellows, oppgir e-postmeldingen sitt opphav som support@microsoft.com og oppfordrer mottakeren til å åpne vedlegget Y2KCount.exe for å være med på nedtellingen mot år 2000. Vedlegget leverer en feilmelding og ser deretter ut til å gå i stå. Mottakeren merker ikke det som egentlig skjer: En exe-fil og fire dat-filer pakkes ut. Exe-filen installerer en trojaner. Fire dll-filer kopieres til Windows-system-katalogen og system.ini-filen endres for å sikre at trojaneren lanseres neste gang Windows starter.

Når den er aktiv, overvåker trojaneren all Internett-trafikk på systemet, og sjekker spesielt strenger som "login", "password" og "username", for å kapre brukernavn og passord. Trojaneren skal være i stand til å kommunisere dette ut til en ikke kjent adressat. Det er også mulig at den kan fungere som bakdør inn i systemet.

Data Fellows forklarer på sitt nettsted at du må kjøre vedlegget for å smittes. Har du gjort det, er trojaneren installert innen den villedende feilmeldingen dukker opp. For å fjerne koden må du slette fire navngitte dll-filer, redigere system.ini-filen fra DOS - ikke fra Windows - og døpe om en fil som trojaneren har endret navnet på.

Nærmest identiske opplysninger er lagt ut hos Network Associates, Symantec og Trend Micro.

Ifølge TechWeb er Count2k opprinnelig fra Bulgaria og har mange trekk felles med ExploreZip (eller Explore.Zip), en av de tre nye globale virusepidemiene i første halvår - i tillegg til CIH og Melissa.

Lenke til kommentar
Del på andre sider

quote:

Mottok (og slettet) det i mail i dag....var ikke det noe virusgreier..?

Stemmer det Åge, og det var flott for deg at du slettet den i stedet for å kjøre filen.

Send nå en mail til vedkommende du fikk filen fra. Det er ikke sikkert at han selv er klar over at han har fått dette inn på maskinen sin.

------------------

Dag Johansen

 

 

Lenke til kommentar
Del på andre sider

Jøssenammen, jeg trodde denne «worm'en» var ute av verden for lenge siden. Fikk den for åtte - ni måneder siden, om ikke lenger, og slettet den tvert. Har som ufravikelig vane å slette .exe-filer fra e-posten min. F##.. te' folk som sender ut sånn møkk!!! Leste om denne ormen på SOL og så de hadde lagt ut en link til en side som som hadde oppskriften på avlivning av svineriet. Nå hører det med til historien at maddammen (nysgjerrig som hun er) åpnet Happy99.exe og dett var dett. Satt og knotet i DOS en hel kveld for å rydde opp. Vi har heldigvis hver vår maskin. Så moralen er enkel; ikke åpne .exe-filer som ikke er behørig omtalt av en kjent avsender, for plutselig en dag slår maskinen ut en fjert og kveiler inn for godt. Pussig at noen blir så flinke med data at de må bruke det i ondsinnet øyemed. Merkelig...

Bjørn

Lenke til kommentar
Del på andre sider

Har fått same fila, sjølv om eg sende ein mail frå meg til meg! Skumle greier det der!! Tenkte eg skulle sjekke det ut, men tok ikkje sjangsen! Takk og pris for det!!!

Dan Erik

Hei Dan Erik.

Du har blitt infisert av happy.exe viruset. Du bør snarest ta affære med en skikkelig virus killer og ikke send mail til andre før du er sikker på at viruset er borte.

Får du happy99.exe i attachment når du sender mail til deg selv så er du infisert til tusen.

Happy99.exe er en stadig gjenganger. har vært borti dette i følgende versjoner: Happy.exe Happy95.exe Happy96.exe happy97.exe happy98.exe og happy99.exe

Dette er et virus som kommer hvert år.

Virker på følgende måte. legger seg som attachment på alle ut gående mail, uten at den som sender veit noe om det. Derfor får du et slikt attachment i mail, nøl ike med å i ifra til avsender slik at han/hun kan få fjernet viruset de har i maskinen.

 

Jan Roar Rød

[Edited by Jan Roar Rød 28-09-1999.]

Lenke til kommentar
Del på andre sider

Og til slutt vil jeg si at ALLE som ikke har MÅ skaffe seg en viruskiller snarest (Jeg bruker en som heter AntiViral toolkit Pro og den funker veldig godt, er ikke like fornøyd med norton sin, men også den funker ganske bra).

Det er som oftest ikke mere som skal til for og unngå virus, faktisk synes jeg ikke synd på folk som har blitt smitta med virus, dem har igrunn (stort sett ihvertfall) bare seg selv og takke, selv har jeg bare hatt virus en gang siden jeg fikk data for 16 år siden, og det vare bare en idiotting ifra min side (aldri reboote maskinen med en floppy med bootvirus stående i A: :-)).

Vennlig hilsen

Tarjei Lundarvollen

Lenke til kommentar
Del på andre sider

Fila var lagra på maskinen den ja, fant den da eg søkte gjennom den! Broderen han rota det skikkeleg til no ja! Men det var da ikke hans feil, han trudde han fekk den med mail fra personen, men den personen viste det ikke ein gong sjølv!

Bør ein sletta fila, eller skal ein berre la den vera på maskina til ein fjerner viruset med eit program? Korleis er det med Happy99.exe?, går den inn på andre ting en bare e-mail?

Dan Erik, http://www.flightsite-int.com" TARGET=_blank>www.flightsite-int.com

Lenke til kommentar
Del på andre sider

Den går kun inn på mailen for å fjerne virusett så kan du gå hit: http://email.miningco.com/library/weekly/aa022299.htm."'>http://email.miningco.com/library/weekly/aa022299.htm." TARGET=_blank>http://email.miningco.com/library/weekly/aa022299.htm. Her er den futt oppskrift over hvordan en kan fjerne virusett.

Lykke til! Happy99 er ikke farlig bare irriterende! For mailene blir altid så store + det går trekt å sende!

Hilsen Tor Harald Tessem som også har fått det pga testing av virusett [image]http://www.flightsim.no/ubb/images/icons/smile.gif[/image]

Lenke til kommentar
Del på andre sider

Bli med i diskusjonen!

Du kan poste innlegg nå og registrere deg senere. Hvis du har en brukerkonto kan du logge inn nå for å poste med din egen konto.

Gjest
Skriv svar til emnet …

×   Du har limt inn tekst med formatering.   Fjern formatering

  Only 75 emoji are allowed.

×   Lenken din har blitt bygget inn på siden automatisk.   Vis som en ordinær lenke i stedet

×   Tidligere innhold har blitt gjenopprettet.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Opprett ny...