Wirusy plikowe, DOS | Wirusy sektora startowego | Wirusy wieloczęściowe | Wirusy wieloplatformowe | Wirusy NewEXE | Makrowirusy | Konstruktory wirusów | Wirusy HLP | Wirusy Java | Generatory polimorficzne i bazujące na nich wirusy | Konie trojańskie | Wirusy skryptowe | Robaki | Żarty oraz programy nie będące wirusami | Wirusy dla systemu Palm OS | Szkodliwe programy | Dowcipy | Backdoory WScript.KakWormJest to robak napisany w języku Java Script. Rozprzestrzenia się używając
programu MS Outlook Express. Robak nie dołącza się do wiadomości, jak
robi to większość tego typu wirusów, lecz wkleja swój kod jako program skryptowy.
Robak działa tylko w angielskich i francuskich wersjach Windows i tylko na komputerach, w których system zainstalowany jest w katalogu C:WINDOWS. Wirus jest kompatybilny tylko z programem MS Outlook Express. Jeśli użytkownik korzysta z MS Outlook, robak infekuje system lecz nie może się rozprzestrzeniać. Podczas infekowania systemu, robak tworzy trzy pliki, zawierające jego kopię:
Pierwsze dwa pliki są wykorzystywane przez robaka do infekowania systemu, natomiast trzeci plik służy do propagowania kodu wirusa w zarażonych wiadomościach. Wirus posiada dodatkową funkcję, wyświetlającą poniższą wiadomość 1 dnia każdego miesiąca o godzinie 17:00: Kagou-Anti-Kro$oft says not today ! Następnie funkcja restartuje Windows. Robak dociera do komputera w postaci wiadomości email mającej format HTML. Ciało wiadomości zawiera skrypt Javy, który stanowi kod robaka. Program ten nie pojawia się na ekranie, ponieważ w dokumentach HTML programy nigdy nie są wyświetlane. W rezultacie podczas przeglądania wiadomości, wyświetlana jest tylko jej treść - nie jest widoczny kod robaka, jednak skrypt jest automatycznie uruchamiany i wirus przejmuje kontrolę. Robak infekuje system i rozprzestrzenia się w trzech krokach:
Po uruchomieniu z zainfekowanej wiadomości, robak uzyskuje dostęp do dysku lokalnego. Aby uniknąć zabezpieczeń, robak wykorzystuje metodę "TypeLib Security Vulnerability" - tworzy obiekt Active X mający możliwość zapisywania plików na dysku. Następnie, robak tworzy plik KAK.HTA i umieszcza w nim swój kod. Plik jest umieszczany w katalogu startowym Windows i w rezultacie będzie uruchomiony przy następnym starcie Windows. HTA jest aplikacją HTML. Zawiera normalny kod HTML lecz jest uruchamiana jako samodzielna aplikacja (bez Internet Explorera). Umożliwia to pisanie potężnych aplikacji przy użyciu zwykłych skryptów HTML. Podczas tworzenia pliku KAK.HTA, robak nie sprawdza lokalizacji systemu lecz przyjmuje, że jest on zainstalowany w katalogu C:WINDOWS. W wyniku tego, wirus nie może się rozprzestrzeniać jeśli system znajduje się w jakimkolwiek innym katalogu. Robak próbuje umieścić swoją kopię w dwóch różnych wersjach katalogu startowego:
Podczas następnego startu Windows uruchamiany jest plik "KAK.HTA". Znajdujący się w nim skrypt, tworzy taki sam plik HTA w katalogu systemowym Windows. Nazwa tego pliku jest zależna od systemu (może mieć postać np. "9A4ADF27.HTA"). Następnie wirus modyfikuje rejestr aby zapewnić sobie uruchomienie przy każdym starcie Windows. Jeśli użytkownik zmieni domyślny podpis w programie Outlook Express, skrypt zawarty w tym pliku przywróci komponenty robaka i modyfikacje rejestru, czyli dokona ponownej infekcji. Następnie skrypt z pliku KAK.HTA tworzy plik KAK.HTM, zawierający tylko kod wirusa. Plik ten jest wykorzystywany podczas infekowania wiadomości. Na końcu, skrypt dodaje do pliku AUTOEXEC.BAT komendę usuwającą plik KAK.HTA z katalogu startowego. Skrypt zawarty w pliku KAK.HTA modyfikuje rejestr programu Outlook Express, tworząc nowy podpis, który jest powiązany z plikiem KAK.HTM. Podpis ten jest ustawiany jako domyślny. Od tego momentu, za każdym razem gdy Outlook Express tworzy nową wiadomość, wstawiany jest do niej zainfekowany podpis (zawartość pliku KAK.HTA). Robak może się rozprzestrzeniać tylko poprzez wiadomości w formacie HTML. Wiadomości RTF oraz zawierające "czysty tekst" nie mogą zostać zainfekowane. Zwykłe skanery antywirusowe (skanery on-demand) nie zabezpieczają przed tego typu robakami. Wraz z każdym otwarciem zainfekowanej wiadomości robak pojawi się na nowo.
Możliwe jest zastosowanie skanerów on-access, które schwytają robaka
gdy będzie usiłował zapisać się na dysk. Jednak skanery te nie powstrzymają
aktywacji robaka, gdyż skrypty w wiadomościach email są uruchamiane
bezpośrednio w pamięci systemowej - nie są uprzednio zapisywane na dysku.
Najlepszym zabezpieczeniem jest używanie narządzi antywirusowych, które
sprawdzają skrypty tuż przed ich uruchomieniem (np. "AVP Script Checker").
Takie programy mogą zapobiec aktywacji robaka i zainfekowaniu systemu.
Aby zapisać swój plik na dysku, robak używa luki w zabezpieczeniach
Internet Explorer'a 5.0. Microsoft udostępnił uaktualnienie usuwające tę lukę.
Zalecamy odwiedzenie witryny http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP
i zainstalowanie tego uaktualnienia.
Jeśli nie planujesz używania żadnych aplikacji HTML (plików HTA),
istnieje jeszcze jeden sposób uniknięcia infekcji. Należy usunąć asocjację
dla plików o rozszerzeniu .HTA. Aby tego dokonać, wykonaj następujące
kroki:
|