Lo chiamano in diversi modi, di cui Haptime è il più breve e confidenziale, ma è sempre un VBS (Very Bastard inSide): VBS.HappyTime, VBS_Haptime.A, VBS/Help, VBS.Happytime.A, VBS/Haptime@MM, e i tempi sono felici solo per lui, che si moltiplica come un coniglio, o meglio, come un worm.
Dalle mail in html, da quelle in testo normale con allegato html, il cui oggetto è Help e l'allegato si chiama Untitled.htm, oppure da pagine web infette.
Automaticamente aprendo la mail o il suo allegato, o semplicemente visitando la pagina infetta, se si ha una versione di IE/OE non aggiornata e senza le restrizioni sull'esecuzione degli script, e con l'anteprima attivata.
Infetta i file .htm, .vbs, .htt, .asp, modifica le impostazioni di IE/OE e del registro, si autospedisce agli indirizzi che trova nella rubrica e nei file che riesce a colpire, e quando la somma di mese e giorno fa 13 (per esempio 4/9 - 3/10 ecc.) cancella file .exe e .dll.
Sfrutta una falla di sicurezza di IE/OE per incorporarsi in coda al codice html contenuto in una pagina Web o in una mail con elementi decorativi, oppure si allega ad una mail con testo normale il cui oggetto è Help e l'allegato è un file che si chiama Untitled.htm.
Quando arriva non inizia immediatamente a diffondersi all'esterno, ma per prima cosa si prepara le basi e si propaga nel computer ospite, nascondendosi nei files Help.hta, Help.vbs, Help.htm o Untitled.htm.
Rimpiazza il default del desktop con un file html che contiene il suo codice attivato dal file Help.htm, utilizzando il nostro sfondo per mimetizzarsi ed andare automaticamente in esecuzione all'avvio di Windows, inoltre se sono attivi l'Active Desktop e la visualizzazione delle cartelle come pagine Web il worm si moltiplica ad ogni avvio o refresh del desktop o delle cartelle di Esplora Risorse.
In questo modo ad ogni movimento tra le cartelle il worm va in esecuzione, e vengono infettati inizialmente tutti i file .htt della cartella di Windows.
Ad ogni esecuzione, Haptime cerca i file con estensione .htt, .htm, .html, .asp e .vbs e ne infetta uno alla volta inserendosi al loro interno sotto forma di codice VBS (Visual Basic Script), quindi cerca al loro interno indirizzi email e si spedisce in questo modo:
Oggetto: Help
Testo: nessuno
Allegato: Untitled.htm (infetto)
Ogni file che infetta gli fa guadagnare una tacca sulla chiave Count e ne incrementa il valore, quindi ad ogni 366° file colpito e affondato, tenta, con pari probabilità, una delle seguenti azioni:
Quindi inizia il tentativo di replicarsi all'esterno forzando OE all'invio di mail in html, e sfrutta gli elementi decorativi (che non sono altro che file html) per diffondersi, così ogni nuova mail avrà a nostra insaputa un ghirigoro in più ben nascosto al suo interno; per i suoi scopi crea le seguenti chiavi nel registro di configurazione:
HKEY_CURRENT_USER\Control Panel\Desktopche sostituisce il suo confetto al nostro sfondo per lavorare con l'Active Desktop;
HKEY_CURRENT_USER\Software\Help\Countche gli serve a tenere il conto delle sue malefatte;
HKEY_CURRENT_USER\Software\Help\FileName
che usa come promemoria;
HKEY_CURRENT_USER\Identities\<vostraidentità>\Software\Microsoft\Outlook Express\5.0\Mail
in cui obbliga OE a scrivere in html con il suo elemento poco decorativo ma molto efficace, creando i valori
Message Send Html 1
Compose Use Stationery 1
Stationery Name Windows\Untitled.htm
Se il programma di email o il server di posta che processa il messaggio non è settato o non è in grado di decodificare i messaggi html, questi messaggi saranno convertiti in allegati, ed aprendo l'allegato si otterrà lo stesso risultato (=infezione) di una mail con html incorporato.
Un buon antivirus deve sempre fare la sua parte, che in questo caso è quella di individuare i file colpiti in modo da poterli eliminare, facendo una scansione completa del sistema con l'opzione di controllo di tutti i file.
Data la velocità e gli effetti quasi invisibili di questo worm, ci si può accorgere della sua presenza quando l'infezione è già molto estesa, ma spesso, per fortuna, la maggior parte delle migliaia di file rilevati come infetti si trova nella cartella dei file temporanei di Internet, quindi le azioni da svolgere sono sostanzialmente poche.