VIRUS INFO
Naziv virusa: WScript/Kak.worm
Alias: JS/Kak.worm, Kagou-Anti-Kro$oft, Kak, VBS.Kak.Worm, VBS/Kak, Wscript.Kak, Wscript.KakWorm
Tip: worm
Način širenja: e-mailom
Veličina: 4.116 bajtova
Destruktivan:
ne
Datum aktiviranja: svakog 1 u mesecu posle 18:00h ispisuje poruku
Otkriven: 31.12.1999.

OBJAŠNJENJE
Ovaj Visual Basic script (VBS) virus stiže kao obična e-mail poruka od nekoga koga poznajete. Kada hoćete da je pročitate u programu Microsoft Outlook u preview modu, startuje se ActiveX kontola i virus napada Vaš sistem koristeći i Windows Scripting Host (WSH). Prilikom otvaranja pristigle e-mail poruke, koja sadrži virus, korisniku može da se pojavi poruka sledeće sadržine: 

"Do you want to allow software such as ActiveX controls and plug-ins to run?" 

Ako korisnik odgovori sa "No" izbeći ce inficiranje računara. A može i da se pojavi sledeća poruka: 

"Scripts are usually safe. Do you want to allow scripts to run?" 

Ako i na nju odgovori sa "No",izbeci ce inficiranje računara.

Ovaj virus se sastoji od 3 komponente: 
- HTA fajl - HTML za programe
- REG fajl - za Registry bazu (Registration Entries Update) i
- BAT fajl - MS-DOS Batch. 

Metod koji se koristi da bi se integrisale ove tri komponente je tako napisana e-mail poruka u HTML formatu koja podržava skriptove. Ovaj skript se zove Scriptlet TypeLib

Prilikom čitanja pristigle poruke na korisnikov hard disk se upisuju sledeći fajlovi: 

C:\ WINDOWS \ KAK.HTM
C:\ WINDOWS \ SYSTEM \ Ime_fajla.HTA
C:\ WINDOWS \ START MENU \ PROGRAMS \ STARTUP \ KAK.HTA

Slika () prečice u Start meniju za startovanje Kak crva.

Ime_fajla.HTA fajl koje je kreiran od strane algoritma virusa slučajnim odabirom kombinacija slova i brojeva (npr. 98278AE0.HTA). 

Posle snimanja ovih fajlova korisnikov računar će posle sledećeg startovanja MS Winodwsa aktivirati druge dve komponente ovog virusa. Ovaj virus modifikuje AUTOEXEC.BAT. Novo kreirani fajl AE.KAK je identičan postojećem sa korinikovim AUTOEXEC.BAT fajlom, koji će kasnije biti modifikovan i dopunjen sadržinom KAK.HTA fajla. Fajl KAK.HTA će posle ove procedure biti obrisan. 

Virus ubaci sledeći kod u Registry bazu: 
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ cAg0u = "C:\ WINDOWS \ SYSTEM \ Ime_fajla.HTA"

gde je Ime_fajla.HTA već ranije objašnjeno.

Virus se širi kao potpis (Signature) svake poslate poruke. Ovo mu je omogućeno time što je promenio konfiguraciju Microsoft Outlook programa i dodao mu kao vrednost za opciju Signature fajl C:\WINDOWS\KAK.HTM ().Tako će sve poslate e-mail poruke sa ovako zaraženog sistema imati u sebi virus. Sadržina ovog fajla je potpuno identična primljenom skriptu kojim se korisnik zarazio.

Svakog prvog u mesecu posle 18:00h virus prikaže sledeću poruku: 
"Kagou-Anti-Kro$oft says not today!" ili 
"S3 driver memory alloc failed." 

Posle prikazane poruke, virus ce izvršiti proceduru gašenja računara.

REŠENJE
Ako ste se upravo inficirali, onda sledite sledeće korake: 

- obrišite sve neposlate e-mail poruke 
- obrišite sve e-mail poruke koje ste dobili u skorije vreme 
- zatvorite MS Outlook 
- uklonite fajlove:
C:\ WINDOWS \ KAK.HTM, C:\ WINDOWS \ SYSTEM \ Ime_fajla.HTA i C:\ WINDOWS \ START MENU \ PROGRAMS \ STARTUP \ KAK.HTA 
- isključite "preview pane" 
- isključite Default Signature
- preimenujte AE.KAK u AUTOEXEC.BAT.

Naravno, i osvežite antivirusni program.






  Na ovim stranicama ćete uvek biti obavešteni o novim virusima koji se pojavljuju kao i načinom uklanjanja istih sa vašeg računara. Pored virusa, na ovom sajtu možete naći najefektnije načine zaštite od virusa kao i zaštita od upada u vaš računar.  


 

Virus Informacioni Centar je otvoren za sva vaša pitanja, preloge, kao i sugestije u vezi ovog sajta.

Virus Informacioni Centar
Neobee.net ISP
Email : virus@neobee.net
ICQ : 48089085

  
VIrus Informacioni centar
Broj poseta31231 poseta od 23.03.2001.