VIRUS INFO
Naziv virusa: WScript/Kak.B.worm
Alias: Kak.B, Days
Tip: worm
Način širenja: e-mailom
Veličina: 4.116 bajtova
Destruktivan:
ne
Datum aktiviranja: svakog 11 u mesecu posle 17:00h ispisuje poruku
Otkriven: 27.07.2000.

OBJAŠNJENJE
Ovo je novija verzija ranije opisanom Kak.worm virusa.

Ovaj Visual Basic script (VBS) virus stiže kao obična e-mail poruka od nekoga koga poznajete. Kada hoćete da je pročitate u programu MS Outlook u preview modu, startuje se ActiveX kontola i virus napada Vaš sistem koristeći i Windows Scripting Host (WSH). Prilikom otvaranja pristigle e-mail poruke, koja sadrži virus, korisniku može da se pojavi poruka sledeće sadržine: 

"Do you want to allow software such as ActiveX controls and plug-ins to run?" 

Ako korisnik odgovori sa "No" izbeći ce inficiranje računara. A može i da se pojavi sledeća poruka: 

"Scripts are usually safe. Do you want to allow scripts to run?" 

Ako i na nju odgovori sa "No",izbeći će inficiranje računara.

Ovaj virus se sastoji od 3 komponente: 
- HTA fajl - HTML za programe
- REG fajl - za Registry bazu (Registration Entries Update) i
- BAT fajl - MS-DOS Batch. 

Metod koji se koristi da bi se integrisale ove tri komponente je tako napisana e-mail poruka u HTML formatu koja podržava skriptove. Ovaj skript se zove Scriptlet TypeLib

Prilikom čitanja pristigle poruke na korisnikov hard disk se upisuju sledeći fajlovi: 

C:\ WINDOWS \ DAY.HTM
C:\ WINDOWS \ HELP \ DAY.HTA
C:\ WINDOWS \ START MENU \ PROGRAMS \ STARTUP \ DAY.HTA.

Posle snimanja ovih fajlova korisnokov računar ce posle sledećeg startovanja MS Winodwsa aktivirati druge dve komponente ovog virusa. Ovaj virus modifikuje AUTOEXEC.BAT. Novo kreirani fajl DAYS.DAY je identičan postojećem sa korinikovim AUTOEXEC.BAT fajlom, koji će kasnije biti modifikovan i dopunjen sadržinom DAY.HTA fajla. Fajl DAY.HTA će posle ove procedure biti obrisan. 

Virus ubaci sledeći kod u Registry bazu: 
HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Run \ cAg0u = "C:\ WINDOWS \ SYSTEM \ DAY.HTA".

Virus se širi kao potpis (Signature) svake poslate poruke. Ovo mu je omogućeno time što je promenio konfiguraciju Microsoft Outlook programa i dodao mu kao vrednost za opciju Signature fajl C:\WINDOWS\DAY.HTM (). Tako će sve poslate e-mail poruke sa ovako zaraženog sistema imati u sebi virus. Sadržina ovog fajla je potpuno identična primljenom skriptu kojim se korisnik zarazio.

Svakog 11 u mesecu posle 17:00h virus prikaže sledeću poruku: 
"Days It was a day to be a days!"

Posle prikazane poruke, virus ce izvršiti proceduru gašenja računara.

REŠENJE
Ako ste se upravo inficirali, onda sledite sledeće korake: 

- obrišite sve neposlate e-mail poruke 
- obrišite sve e-mail poruke koje ste dobili u skorije vreme 
- zatvorite MS Outlook 
- uklonite fajlove:
C:\WINDOWS \ DAY.HTM, C:\ WINDOWS \ SYSTEM \ DAY.HTA i C:\ WINDOWS \ START MENU \ PROGRAMS \ STARTUP \ DAY.HTA 
- isključite "preview pane" 
- isključite Default Signature
- preimenujte DAYS.DAY u AUTOEXEC.BAT.

Ako ne želite da "čeprkate" po Registry bazi preuzmite Regcleaner za Kak.B.

Naravno, i osvežite antivirusni program. 






  Na ovim stranicama ćete uvek biti obavešteni o novim virusima koji se pojavljuju kao i načinom uklanjanja istih sa vašeg računara. Pored virusa, na ovom sajtu možete naći najefektnije načine zaštite od virusa kao i zaštita od upada u vaš računar.  


 

Virus Informacioni Centar je otvoren za sva vaša pitanja, preloge, kao i sugestije u vezi ovog sajta.

Virus Informacioni Centar
Neobee.net ISP
Email : virus@neobee.net
ICQ : 48089085

  
VIrus Informacioni centar
Broj poseta31231 poseta od 23.03.2001.