Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory

WScript.KakWorm

Jest to robak napisany w języku Java Script. Rozprzestrzenia się używając programu MS Outlook Express. Robak nie dołącza się do wiadomości, jak robi to większość tego typu wirusów, lecz wkleja swój kod jako program skryptowy.

Robak działa tylko w angielskich i francuskich wersjach Windows i tylko na komputerach, w których system zainstalowany jest w katalogu C:WINDOWS.

Wirus jest kompatybilny tylko z programem MS Outlook Express. Jeśli użytkownik korzysta z MS Outlook, robak infekuje system lecz nie może się rozprzestrzeniać.

Podczas infekowania systemu, robak tworzy trzy pliki, zawierające jego kopię:

  • KAK.HTA w katalogu startowym Windows
  • Nazywany w zależności od wersji systemu plik .HTA w katalogu systemowym Windows
  • KAK.HTM w katalogu Windows

Pierwsze dwa pliki są wykorzystywane przez robaka do infekowania systemu, natomiast trzeci plik służy do propagowania kodu wirusa w zarażonych wiadomościach.

Wirus posiada dodatkową funkcję, wyświetlającą poniższą wiadomość 1 dnia każdego miesiąca o godzinie 17:00:

Kagou-Anti-Kro$oft says not today !

Następnie funkcja restartuje Windows.

Rozprzestrzenianie

Robak dociera do komputera w postaci wiadomości email mającej format HTML. Ciało wiadomości zawiera skrypt Javy, który stanowi kod robaka. Program ten nie pojawia się na ekranie, ponieważ w dokumentach HTML programy nigdy nie są wyświetlane. W rezultacie podczas przeglądania wiadomości, wyświetlana jest tylko jej treść - nie jest widoczny kod robaka, jednak skrypt jest automatycznie uruchamiany i wirus przejmuje kontrolę.

Robak infekuje system i rozprzestrzenia się w trzech krokach:

  1. Robak tworzy swoją kopię w katalogu startowym Windows.
  2. Kiedy wirus zostanie uruchomiony z katalogu startowego Windows, przenosi się katalogu systemowego Windows, rejestruje nową kopię w rejestrze systemowym (sekcja auto-start) i usuwa pierwszą kopię.
  3. Robak modyfikuje rejestry programu MS Outlook Express, zastępując domyślny podpis swoim kodem, w wyniku czego Outlook Express automatycznie dołączy ciało wirusa do każdej tworzonej wiadomości.

Rozprzestrzenianie: krok 1 - robak uruchomiony z zainfekowanej wiadomości

Po uruchomieniu z zainfekowanej wiadomości, robak uzyskuje dostęp do dysku lokalnego. Aby uniknąć zabezpieczeń, robak wykorzystuje metodę "TypeLib Security Vulnerability" - tworzy obiekt Active X mający możliwość zapisywania plików na dysku.

Następnie, robak tworzy plik KAK.HTA i umieszcza w nim swój kod. Plik jest umieszczany w katalogu startowym Windows i w rezultacie będzie uruchomiony przy następnym starcie Windows.

HTA jest aplikacją HTML. Zawiera normalny kod HTML lecz jest uruchamiana jako samodzielna aplikacja (bez Internet Explorera). Umożliwia to pisanie potężnych aplikacji przy użyciu zwykłych skryptów HTML.

Podczas tworzenia pliku KAK.HTA, robak nie sprawdza lokalizacji systemu lecz przyjmuje, że jest on zainstalowany w katalogu C:WINDOWS. W wyniku tego, wirus nie może się rozprzestrzeniać jeśli system znajduje się w jakimkolwiek innym katalogu. Robak próbuje umieścić swoją kopię w dwóch różnych wersjach katalogu startowego:

  • MENUDÉ~1PROGRA~1DÉMARR~1 - (domyślna nazwa we francuskiej wersji Windows)
  • STARTM~1ProgramsStartUp - (domyślna nazwa w wersji angielskiej)

Rozprzestrzenianie: krok 2 - robak uruchomiony z pliku KAK.HTA

Podczas następnego startu Windows uruchamiany jest plik "KAK.HTA". Znajdujący się w nim skrypt, tworzy taki sam plik HTA w katalogu systemowym Windows. Nazwa tego pliku jest zależna od systemu (może mieć postać np. "9A4ADF27.HTA"). Następnie wirus modyfikuje rejestr aby zapewnić sobie uruchomienie przy każdym starcie Windows. Jeśli użytkownik zmieni domyślny podpis w programie Outlook Express, skrypt zawarty w tym pliku przywróci komponenty robaka i modyfikacje rejestru, czyli dokona ponownej infekcji.

Następnie skrypt z pliku KAK.HTA tworzy plik KAK.HTM, zawierający tylko kod wirusa. Plik ten jest wykorzystywany podczas infekowania wiadomości.

Na końcu, skrypt dodaje do pliku AUTOEXEC.BAT komendę usuwającą plik KAK.HTA z katalogu startowego.

Rozprzestrzenianie: krok 3 - wysyłanie zainfekowanych wiadomości

Skrypt zawarty w pliku KAK.HTA modyfikuje rejestr programu Outlook Express, tworząc nowy podpis, który jest powiązany z plikiem KAK.HTM. Podpis ten jest ustawiany jako domyślny. Od tego momentu, za każdym razem gdy Outlook Express tworzy nową wiadomość, wstawiany jest do niej zainfekowany podpis (zawartość pliku KAK.HTA).

Robak może się rozprzestrzeniać tylko poprzez wiadomości w formacie HTML. Wiadomości RTF oraz zawierające "czysty tekst" nie mogą zostać zainfekowane.

Zabezpieczenie

Zwykłe skanery antywirusowe (skanery on-demand) nie zabezpieczają przed tego typu robakami. Wraz z każdym otwarciem zainfekowanej wiadomości robak pojawi się na nowo.

Możliwe jest zastosowanie skanerów on-access, które schwytają robaka gdy będzie usiłował zapisać się na dysk. Jednak skanery te nie powstrzymają aktywacji robaka, gdyż skrypty w wiadomościach email są uruchamiane bezpośrednio w pamięci systemowej - nie są uprzednio zapisywane na dysku.

Najlepszym zabezpieczeniem jest używanie narządzi antywirusowych, które sprawdzają skrypty tuż przed ich uruchomieniem (np. "AVP Script Checker"). Takie programy mogą zapobiec aktywacji robaka i zainfekowaniu systemu.

Aby zapisać swój plik na dysku, robak używa luki w zabezpieczeniach Internet Explorer'a 5.0. Microsoft udostępnił uaktualnienie usuwające tę lukę. Zalecamy odwiedzenie witryny http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP i zainstalowanie tego uaktualnienia.

Jeśli nie planujesz używania żadnych aplikacji HTML (plików HTA), istnieje jeszcze jeden sposób uniknięcia infekcji. Należy usunąć asocjację dla plików o rozszerzeniu .HTA. Aby tego dokonać, wykonaj następujące kroki:

  1. Kliknij dwukrotnie na ikonie "My Computer" na pulpicie Windows.
  2. W nowo otwatym oknie wybierz menu "View" -> "Options...".
  3. Na zakładce "File Types" w liście "Registered file types" wybierz "HTML Application".
  4. Kliknij na przycisku "Remove" i potwierdź akcję.
  5. Zamknij okno dialogowe.