KAK (Kagou Anti Kro $ oft) - это червь JavaScript 1999 года, который использует ошибку в Outlook Express для своего распространения. [1]
Первый выпуск | 1999 г. |
---|---|
Операционная система | Майкрософт Виндоус |
Тип | Компьютерный червь |
Поведение
В первый день каждого месяца в 18:00 червь использует SHUTDOWN.EXE, чтобы инициировать завершение работы и показать всплывающее окно с текстом "Kagou-anti-Kro $ oft говорит, что не сегодня!". При запуске часто появляется свернутое окно с заголовком" Ошибка памяти драйвера ". Иногда появляется другое сообщение" Ошибка выделения памяти драйвера S3! ". Червь также добавляет раздел реестра HKEY_LOCAL_MACHINE \ SOFTWARE \ Microsoft \ Windows \ CurrentVersion \ Запустите \ cAg0u и отредактируйте AUTOEXEC.BAT, чтобы Windows запускала его при запуске.
Червь добавляет в AUTOEXEC.BAT следующие команды:
@ECHO off C: \ Windows \ Start Menu \ Programs \ StartUp \ kak.hta DEL C: \ Windows \ Меню Пуск \ Программы \ Автозагрузка \ kak.hta
Подход
KAK работает, используя уязвимость в Microsoft Internet Explorer , которую Outlook Express использует для отображения электронной почты в формате HTML. Уязвимость касается элемента ActiveX «Scriptlet.Typelib», который обычно используется для создания новых библиотек типов (файлов «.tlb»). Однако элемент управления не устанавливает никаких ограничений на то, какое содержимое входит в файл библиотеки типов или какое расширение файла должно иметь. Следовательно, элементом управления можно злоупотреблять для создания файла с любым содержимым и с любым расширением.
Поскольку Microsoft не предполагала возможности злоупотребления этим элементом управления, они отметили его как «безопасный для сценариев» в настройках безопасности Internet Explorer по умолчанию. Это означает, что скриптам, включающим этот элемент управления, не требуется разрешение пользователя для запуска. KAK встраивает такой оскорбительный код в подпись сообщения электронной почты, так что код запускается, когда электронное письмо просматривается или предварительно просматривается в Outlook Express (поскольку Outlook Express использует Internet Explorer для обеспечения этой функции просмотра / предварительного просмотра для электронных писем HTML).
KAK использует "Scriptlet.Typelib" для создания файла с именем "kak.hta" в папке StartUp. Этот файл содержит дополнительный код, который будет запущен при следующем запуске машины. Поскольку HTA не отображается в Internet Explorer, а выполняется с помощью Windows Scripting Host , код, помещенный KAK в этот файл, имеет даже больше привилегий, чем код, который он помещает в подпись электронной почты.
При следующем запуске машины и запуске "kak.hta" KAK выполняет ряд действий, таких как:
- Настройка подписи электронной почты пользователя, содержащей код для заражения других систем, чтобы червь мог распространяться
- Добавление строк в AUTOEXEC.BAT для удаления исходного "kak.hta", чтобы вирус было труднее отслеживать
- Создание нового «kak.hta», который запускается при запуске и выключает машину с 18:00 до полуночи первого числа месяца.
Рекомендации
- ^ "Как червь - Интернет-вирус от Маюра Камата" . Проверено 1 ноября 2019 .
Внешние ссылки
- Запись о VBS.KAK как и информация на pchell.com
- Wscript.KakWorm на Symantec.com
- JS / Kak @ M на McAfee