发信人: emil()
整理人: emil(2000-10-03 21:05:06), 站内信件
|
Wscript.KakWorm
病毒名称:Wscript.KakWorm
别名: VBS.Kak.Worm, Kagou-Anti-Krosoft, JS/Kak.worm.a, Kak, VBS.Ka
k.Worm, VBS/Kak, VBS_KAKWORM.A, VBS_KAKWORM.A-M, Wscript.Kak, KAKWORM.
A-M, Kakworm.B, KAKWORM.A, HTML_KAKWORM.A
危险等级:中
发作时间:每月1日17时(即下午5:00)后
长度: 4,116字节
感染症状:无
发作症状:显示一个信息框,并强制关闭计算机
病毒类型:蠕虫
操作平台:Win9x/2000
感染对象:无
病毒介绍:
该蠕虫是用Java Script语言编写的,利用了MS Outlook的一个安全漏洞,使
得收信人在没有打开或运行附件的情况下运行传播。该蠕虫不像一般的蠕虫那样
作为信件的附件传播,而是以一个脚本(script)程序——信件的签名档插入信件
中进行传播。
不过,该蠕虫有比较大的局限性。首先,操作系统必须是英文版或法文版Wi
ndows操作系统,且必须在c:\windows下,同时也只是在MS Outlook下才起作用,
对于其它电子邮件软件要视乎该软件的功能。另外,系统必须支持Windows Scri
pting,必须是IE5或以上版本。只有操作系统在满足以上的条件该蠕虫才可运行
发作。
该蠕虫在被感染的系统上会新建三个文件:KAK.HTA、<任意文件名>.HTA、K
AK.HTM,分别在Windows startup(Windows开始)目录、Windows system目录和
Windows目录下。第一个用以感染系统,最后一个用以通过电子邮件传播蠕虫。该
蠕虫有个症状特征,就是在每月1日下午5:00后显示一个信息框,内容如下:
"Kagou-Anti-Kro$oft says not today !"
或者还会显示:
"S3 driver memory alloc failed"
然后强迫关闭系统。
该蠕虫通过HTML格式的电子邮件传播,该邮件包含一个脚本程序(Java scri
pt program),这就是该蠕虫的本身代码,不过这个程序是不会显示在屏幕上的。
当打开或者预览一个被感染的电子邮件,显示的只是电子邮件的内容,而不是蠕
虫代码,不过这个脚本程序可以自动运行。
该蠕虫分三步感染系统和传播:
第一步,当电子邮件中的蠕虫被执行。
当电子邮件中的蠕虫程序被激活时,蠕虫便在Windows startup目录下建立一
个它自身的副本,当它在startup目录下运行后,便会将自己转移到Windows sys
tem目录下,并将新的副本的信息写入注册表启动项,使之在Windows启动时能自
动运行,然后删除原来startup目录下的那个副本。
接着,它读取Outlook的注册项,修改注册表资料,使得蠕虫的副本变成一个
签名档,当Outlook向外发送电子邮件时便将蠕虫一起发送出去了。
该蠕虫之所以要以以上这些步骤进行传播,是因为在第一阶段该蠕虫仅能读
取硬盘上的文件,而无法修改注册表,所以它必须运行硬盘上或局域网上的文件
来修改注册表。然后便删除它在startup目录下的那个副本,以隐藏自身。
当蠕虫在读取被感染计算机上的文件时,为了避免安全保护系统报警(默认
情况下本地硬盘是禁止访问的),蠕虫利用了一个名叫"TypeLib Security Vuln
erability"的安全漏洞,创建一个ActiveX对象程序标示自身为一个安全的脚本程
序,从而可以写硬盘。接着,蠕虫便在硬盘上windows startup目录下新建一个K
AK.HTA文件,并把自身的代码写入其中,所以在下次启动系统时蠕虫就可以被运
行了。
HTA文件是一种HTML应用程序,要IE5或以上的浏览器版本才支持这种文件格
式。不过在运行的时候可以独立运行,而不必使用IE的命令解析器(Internet Ex
plorer shell),这就使得利用HTML文件里普通的脚本文件能往硬盘上写更强大的
应用程序成为可能。
不过有趣的是当安装Windows默认的路径不是C:\WINDOWS时,蠕虫就不能传播
了,不过蠕虫还是企图将自身拷贝到MENUDé~1\PROGRA~1\DéMARR~1(法文版Wi
ndows)或STARTM~1\Programs\StartUp(英文版Windows)目录下,但是,如果W
indows startup目录是别的名字时,蠕虫就束手无策了。
第二步:当KAK.HTA被运行时。
当KAK.HTA被运行时,这个脚本程序便会在Windows system目录下建立一个相
同的HTA文件,不过这个文件的文件名是随机的,如9A4ADF27.HTA,接着修改注册
表的启动项:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/c
AgOu
键值为:"C:\WINDOWS\SYSTEM\<随机名>.hta"
以使得在系统每次启动时这个文件都能运行。如果用户修改了Outlook默认的
签名档,该蠕虫就会重置自身和注册表设置,重新感染系统。接着,KAK.HTA脚本
程序便会在Windows目录下建立一个KAK.HTM文件,该文件中就是蠕虫的代码,在
一般情况是显示不出来的。然后蠕虫将Autoexec.bat改名为AE.KAK,并生成一个
新的Autoexe.bat文件以删除原来startup目录下KAK.HTA文件。
生成的Autoexec.bat文件内容如下:
@echo off>C:\Windows\STARTM~1\Programs\StartUp\
kak.hta del C:\Windows\STARTM~1\Programs\StartUp\kak.hta
第三步:发送被感染的电子邮件。
蠕虫在第二步中所创建的脚本程序在修改系统注册表之后,它便创建一个引
用了KAK.HTM的Outlook签名档,并修改注册表:HKEY_CURRENT_USER/Identities
/<Identity>/Software/Microsoft/Outlook/Express/5.0/signatures,设置该签
名档为Outlook默认的签名档。那么,从此时开始以后通过Outlook所发送的每个
电子邮件便会被附上被感染了的签名档(因为包含KAK.HTM文件)。不过该蠕虫只
是感染HTML的电子邮件,而不会感染RTF和纯文本格式的电子邮件。
备注: 下载专门清除程序。
手工清除KAK蠕虫:
删除Autoexec.bat,并将AE.KAK改名为Autoexec.bat。
删除
C:\Windows\START MENU\Programs\StartUp\kak.hta
C:\Windows\System\*.hta
C:\WINDOWS\KAK.HTM
删除注册表中所有该蠕虫的资料信息。如:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
Currentversion\Run\cAg0u = C:\WINDOWS\SYSTEM\<随机文件名>.hta
HKEY_CURRENT _USER\Identities\<<USER'S identity>\Software\Microsoft\
Outlook Express\5.0\
signatures\Default Signature = 00000000
由于该蠕虫利用了IE5的一个安全漏洞,微软公司就这个安全漏洞已经发布了
一个安全补丁,详情请参见这个网页:http://support.microsoft.com/support
/kb/articles/Q240/3/08.ASP,建议您最好下载并装上该补丁。
假如您打算以后不运行HTML应用程序(HTA文件),以预防以后与本蠕虫类似
的病毒,您可以按一下的步骤执行:
双击“我的电脑”("My Computer"),在出现的窗体中选择“查看”("View"
)=>“文件夹选项...”("Options...")。
选择“文件类型”。然后在下面的窗体中选择"HTML Application"。
然后在右边选择“删除”("Remove")。
另外,最好也删除"Windows Scripting Host"。在控制面板(Control Panel
)中,双击“添加/删除程序”(Add/Remove Programs),选取“Windows 安装程序
”(Windows Setup),然后选取“附件”(Accessories),将其中的"Windows Scr
ipt Host"删除即可。
--
欢迎光临聊毒斋!!!
http://cnav.myrice.com(主站) http://go2.163.com/~cnav(镜像)
Email: [email protected]
Oicq:201604
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.103.177.26]
|
|