发信人: emil()
整理人: emil(2000-10-03 21:05:06), 站内信件
|
Wscript.KakWorm
病毒名称:Wscript.KakWorm
别名: VBS.Kak.Worm, Kagou-Anti-Krosoft, JS/Kak.worm.a, Kak, VBS.Ka k.Worm, VBS/Kak, VBS_KAKWORM.A, VBS_KAKWORM.A-M, Wscript.Kak, KAKWORM. A-M, Kakworm.B, KAKWORM.A, HTML_KAKWORM.A
危险等级:中
发作时间:每月1日17时(即下午5:00)后
长度: 4,116字节
感染症状:无
发作症状:显示一个信息框,并强制关闭计算机
病毒类型:蠕虫
操作平台:Win9x/2000
感染对象:无
病毒介绍:
该蠕虫是用Java Script语言编写的,利用了MS Outlook的一个安全漏洞,使 得收信人在没有打开或运行附件的情况下运行传播。该蠕虫不像一般的蠕虫那样 作为信件的附件传播,而是以一个脚本(script)程序——信件的签名档插入信件 中进行传播。
不过,该蠕虫有比较大的局限性。首先,操作系统必须是英文版或法文版Wi ndows操作系统,且必须在c:\windows下,同时也只是在MS Outlook下才起作用, 对于其它电子邮件软件要视乎该软件的功能。另外,系统必须支持Windows Scri pting,必须是IE5或以上版本。只有操作系统在满足以上的条件该蠕虫才可运行 发作。
该蠕虫在被感染的系统上会新建三个文件:KAK.HTA、<任意文件名>.HTA、K AK.HTM,分别在Windows startup(Windows开始)目录、Windows system目录和 Windows目录下。第一个用以感染系统,最后一个用以通过电子邮件传播蠕虫。该 蠕虫有个症状特征,就是在每月1日下午5:00后显示一个信息框,内容如下:
"Kagou-Anti-Kro$oft says not today !"
或者还会显示:
"S3 driver memory alloc failed"
然后强迫关闭系统。
该蠕虫通过HTML格式的电子邮件传播,该邮件包含一个脚本程序(Java scri pt program),这就是该蠕虫的本身代码,不过这个程序是不会显示在屏幕上的。 当打开或者预览一个被感染的电子邮件,显示的只是电子邮件的内容,而不是蠕 虫代码,不过这个脚本程序可以自动运行。
该蠕虫分三步感染系统和传播:
第一步,当电子邮件中的蠕虫被执行。
当电子邮件中的蠕虫程序被激活时,蠕虫便在Windows startup目录下建立一 个它自身的副本,当它在startup目录下运行后,便会将自己转移到Windows sys tem目录下,并将新的副本的信息写入注册表启动项,使之在Windows启动时能自 动运行,然后删除原来startup目录下的那个副本。
接着,它读取Outlook的注册项,修改注册表资料,使得蠕虫的副本变成一个 签名档,当Outlook向外发送电子邮件时便将蠕虫一起发送出去了。
该蠕虫之所以要以以上这些步骤进行传播,是因为在第一阶段该蠕虫仅能读 取硬盘上的文件,而无法修改注册表,所以它必须运行硬盘上或局域网上的文件 来修改注册表。然后便删除它在startup目录下的那个副本,以隐藏自身。
当蠕虫在读取被感染计算机上的文件时,为了避免安全保护系统报警(默认 情况下本地硬盘是禁止访问的),蠕虫利用了一个名叫"TypeLib Security Vuln erability"的安全漏洞,创建一个ActiveX对象程序标示自身为一个安全的脚本程 序,从而可以写硬盘。接着,蠕虫便在硬盘上windows startup目录下新建一个K AK.HTA文件,并把自身的代码写入其中,所以在下次启动系统时蠕虫就可以被运 行了。
HTA文件是一种HTML应用程序,要IE5或以上的浏览器版本才支持这种文件格 式。不过在运行的时候可以独立运行,而不必使用IE的命令解析器(Internet Ex plorer shell),这就使得利用HTML文件里普通的脚本文件能往硬盘上写更强大的 应用程序成为可能。
不过有趣的是当安装Windows默认的路径不是C:\WINDOWS时,蠕虫就不能传播 了,不过蠕虫还是企图将自身拷贝到MENUDé~1\PROGRA~1\DéMARR~1(法文版Wi ndows)或STARTM~1\Programs\StartUp(英文版Windows)目录下,但是,如果W indows startup目录是别的名字时,蠕虫就束手无策了。
第二步:当KAK.HTA被运行时。
当KAK.HTA被运行时,这个脚本程序便会在Windows system目录下建立一个相 同的HTA文件,不过这个文件的文件名是随机的,如9A4ADF27.HTA,接着修改注册 表的启动项:
HKEY_LOCAL_MACHINE/Software/Microsoft/Windows/CurrentVersion/Run/c AgOu
键值为:"C:\WINDOWS\SYSTEM\<随机名>.hta"
以使得在系统每次启动时这个文件都能运行。如果用户修改了Outlook默认的 签名档,该蠕虫就会重置自身和注册表设置,重新感染系统。接着,KAK.HTA脚本 程序便会在Windows目录下建立一个KAK.HTM文件,该文件中就是蠕虫的代码,在 一般情况是显示不出来的。然后蠕虫将Autoexec.bat改名为AE.KAK,并生成一个 新的Autoexe.bat文件以删除原来startup目录下KAK.HTA文件。
生成的Autoexec.bat文件内容如下:
@echo off>C:\Windows\STARTM~1\Programs\StartUp\
kak.hta del C:\Windows\STARTM~1\Programs\StartUp\kak.hta
第三步:发送被感染的电子邮件。
蠕虫在第二步中所创建的脚本程序在修改系统注册表之后,它便创建一个引 用了KAK.HTM的Outlook签名档,并修改注册表:HKEY_CURRENT_USER/Identities /<Identity>/Software/Microsoft/Outlook/Express/5.0/signatures,设置该签 名档为Outlook默认的签名档。那么,从此时开始以后通过Outlook所发送的每个 电子邮件便会被附上被感染了的签名档(因为包含KAK.HTM文件)。不过该蠕虫只 是感染HTML的电子邮件,而不会感染RTF和纯文本格式的电子邮件。
备注: 下载专门清除程序。
手工清除KAK蠕虫:
删除Autoexec.bat,并将AE.KAK改名为Autoexec.bat。
删除
C:\Windows\START MENU\Programs\StartUp\kak.hta
C:\Windows\System\*.hta
C:\WINDOWS\KAK.HTM
删除注册表中所有该蠕虫的资料信息。如:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\
Currentversion\Run\cAg0u = C:\WINDOWS\SYSTEM\<随机文件名>.hta
HKEY_CURRENT _USER\Identities\<<USER'S identity>\Software\Microsoft\
Outlook Express\5.0\
signatures\Default Signature = 00000000
由于该蠕虫利用了IE5的一个安全漏洞,微软公司就这个安全漏洞已经发布了 一个安全补丁,详情请参见这个网页:http://support.microsoft.com/support /kb/articles/Q240/3/08.ASP,建议您最好下载并装上该补丁。
假如您打算以后不运行HTML应用程序(HTA文件),以预防以后与本蠕虫类似 的病毒,您可以按一下的步骤执行:
双击“我的电脑”("My Computer"),在出现的窗体中选择“查看”("View" )=>“文件夹选项...”("Options...")。
选择“文件类型”。然后在下面的窗体中选择"HTML Application"。
然后在右边选择“删除”("Remove")。
另外,最好也删除"Windows Scripting Host"。在控制面板(Control Panel )中,双击“添加/删除程序”(Add/Remove Programs),选取“Windows 安装程序 ”(Windows Setup),然后选取“附件”(Accessories),将其中的"Windows Scr ipt Host"删除即可。
-- 欢迎光临聊毒斋!!! http://cnav.myrice.com(主站) http://go2.163.com/~cnav(镜像) Email: [email protected] Oicq:201604
※ 来源:.月光软件站 http://www.moon-soft.com.[FROM: 202.103.177.26]
|
|