W32/Ska

米国のネットワークアソシエイツ(NAI/Network Associates Inc.)社が1999年1月27日に発表した、電子メールへの添付ファイル(ファイル名:Happy99.EXE)の形で、チェーンメールやウイルス内部に埋め込まれた自動ファイル添付機能が発動して、発信者が意図しない場合でもウイルス付きメールを送付する可能性が高く、Windowsのメール関連のシステムファイル(WSOCK32.DLL)を改ざんするコンピュータ・ウイルスの名称。感染したファイルを実行すると、「Happy New Year 1999」というメッセージのついた花火の画像が表示され、SKA.EXEという名前で、Windows/Systemフォルダにコピーし、さらにSKA.DLLという名前のDLLを自身で解凍し、Windows/Systemフォルダに展開する。そのときに、Windowsのメールや通信など外部ネットワークとの接続に関連するシステムファイル(WSOCK32.DLL)を改ざんする。また、Symantec社もHappy99 Wormの情報を1999年2月2日にURL(http://www.symantec.com/avcenter/venc/data/happy99.worm.html)で、トレンドマイクロも1999年2月19日に新種破壊プログラムTROJ_SKA(Happy99.exe)発見〜手動駆除で対応〜を発表した。情報処理振興事業協会(IPA)もURL(http://www.ipa.go.jp/SECURITY/topics/ska.html)で情報提供を開始し、日本コンピュータセキュリティ協会(JCSA)もURL(http://www.jcsa.or.jp/ska.html)で、AVPもURL(http://www.avp.ch/avpve/worms/happy.stm)で情報を公開した。シマンテック(Symantec)社は1999年6月に、Happy99 Wormに似た「PrettyPark.Worm」の情報を公開した。もしPrettyPark.Wormに感染した場合は、\Windows\Systemディレクトリに「FILE32.VXD」というファイルを作成し、レジストリエントリ「KEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command」の値を「''%1''%」から「FILES32.VXD''%1''%」に変更されるので、手動でまず「FILE32.VXD」を削除し、レジストリエントリの値を「''%1''%」に戻して、「PrettyPark.EXE」を削除し、コンピュータを再起動することで削除できる。