Ver Kak - Kak worm
| Première version | 1999 |
|---|---|
| Système opérateur | Microsoft Windows |
| Taper | Ver informatique |
KAK (Kagou Anti Kro $ oft) est un ver JavaScript de 1999 qui utilise un bogue dans Outlook Express pour se propager.
Comportement
Le premier jour de chaque mois, à 18 h 00, le ver utilise SHUTDOWN.EXE pour lancer un arrêt et afficher une fenêtre contextuelle avec du texte " Kagou-anti-Kro $ dit souvent pas aujourd'hui! ". Une fenêtre réduite apparaît souvent au démarrage avec le titre" Erreur de mémoire du pilote ". Un autre message indiquant" Échec de l'allocation de mémoire du pilote S3! "Apparaît parfois. Le ver ajoute également une clé de registre HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Exécutez \ cAg0u et modifiez AUTOEXEC.BAT pour que Windows le lance au démarrage.
Le ver ajoute ces commandes à AUTOEXEC.BAT:
@ECHO off C:\Windows\Start Menu\Programs\StartUp\kak.hta DEL C:\Windows\Start Menu\Programs\StartUp\kak.hta
Approcher
KAK fonctionne en exploitant une vulnérabilité dans Microsoft Internet Explorer , qu'Outlook Express utilise pour rendre les e-mails HTML. La vulnérabilité concerne le contrôle ActiveX "Scriptlet.Typelib" qui est généralement utilisé pour créer de nouvelles bibliothèques de types (fichiers ".tlb"). Cependant, le contrôle ne définit aucune restriction sur le contenu qui entre dans le fichier de bibliothèque de types ou sur l'extension de fichier qu'il doit avoir. Par conséquent, le contrôle peut être abusé pour créer un fichier avec n'importe quel contenu et avec n'importe quelle extension.
Étant donné que Microsoft n'a pas prévu la possibilité d'abuser du contrôle de cette manière, ils l'ont marqué comme "sans danger pour les scripts" dans les paramètres de sécurité par défaut d'Internet Explorer. Cela signifie que les scripts incluant ce contrôle n'ont pas besoin de l'autorisation de l'utilisateur pour s'exécuter. KAK intègre ce code abusif dans la signature d'un e-mail, de sorte que le code s'exécute lorsque l'e-mail est affiché ou prévisualisé dans Outlook Express (car Outlook Express utilise Internet Explorer pour fournir cette fonctionnalité d'affichage / d'aperçu pour les e-mails HTML).
KAK utilise "Scriptlet.Typelib" pour créer un fichier appelé "kak.hta" dans le dossier StartUp. Ce fichier contient du code supplémentaire qui sera exécuté au prochain démarrage de la machine. Étant donné que le HTA n'est pas rendu dans Internet Explorer mais exécuté à l'aide de Windows Scripting Host , le code placé par KAK dans ce fichier a encore plus de privilèges que le code qu'il a mis dans la signature de l'e-mail.
La prochaine fois que la machine démarre et que "kak.hta" s'exécute, KAK effectue un certain nombre d'actions telles que:
- Définition de la signature électronique de l'utilisateur pour qu'elle contienne le code pour infecter d'autres systèmes, afin que le ver puisse se propager
- Ajout de lignes à AUTOEXEC.BAT pour supprimer le "kak.hta" d'origine afin que le virus soit plus difficile à suivre
- Création d'un nouveau "kak.hta" qui s'exécute au démarrage et arrêtera la machine entre 18h et minuit le premier jour du mois
Les références
Liens externes
- Rédaction et informations de VBS.KAK kak sur pchell.com
- Wscript.KakWorm sur Symantec.com
- JS / Kak @ M sur McAfee
 |
Cet article relatif aux logiciels malveillants est un bout . Vous pouvez aider Wikipédia en le développant . |