KAK

VIREN-INFORMATIONS-SEITE

NAME:	KAK
ALIAS:	Wscript.KakWorm, KakWorm
TYP:	Wurm
F-PROT:	wird erkannt und beseitigt
Datum:	13.09.2000 (Update 22.10.2000)

Kak ist ein Wurm der sich - genau wie BubbleBoy - ohne jegliches Attachment in jeder E-Mail einnistet, die von einem infizierten System verschickt wird. Für weitere Informationen über BubbleBoy, lesen Sie die Beschreibung unter: bubbleboy.htm

Kak ist in JavaScript geschrieben und funktioniert sowohl unter der Englischen, als auch der Französischen Version von Windows 95/98 sofern Outlook Express 5.0 installiert ist. Er funktioniert nicht unter einer typischen Windows NT Installation.

Der Wurm nutzt eine bekannte Sicherheitslücke in Outlook Express aus. Wenn der User erst ein mal eine infizierte E-Mail erhalten hat und diese öffnet oder im Vorschaufenster ließt, erstellt der Virus eine Datei "kak.hta" im Windows Autostart Ordner.

Beim nächsten Systemstart wird der Wurm aktiviert. Er ersetzt "c:\autoexec.bat" mit einer Batch-Datei, die den Wurm aus dem Autostart Ordner löscht. Die originale "autoexec.bat" wird nach "C:\AE.KAK" kopiert.

Zusätzlich modifiziert er die Signatur Einstellungen von Outlook Express 5.0 so, dass die aktuelle Signatur durch die infizierte Datei "C:\Windows\kak.htm" ersetzt wird.

Deshalb enthält jede mit Outlook Express gesendete Nachricht den Wurm, nachdem dies durchgeführt wurde.

Dann modifiziert er die Windows Registry so, dass er bei jedem Systemstart ausgeführt wird. Der Schlüssel hierfür lautet:

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cAg0u

Die .hta Datei die das Virus erstellt und in Zukunft ausführt wird im Windows System Ordner gespeichert. An jedem ersten des Monats, wenn die Anzahl der Stunden höher als 17 ist (z.B. 18 Uhr oder später), zeigt der Wurm eine Nachrichtenbox mit folgendem Text an:

    Kagou-Anit-Kro$oft says not today!

Dann beendet der Wurm Windows.

F-Secure Anti-Virus findet den Wurm. Wenn der Wurm gefunden wurde, sollte der User *falls vorhanden* folgende Dateien löschen:

    C:\Windows\kak.htm
    C:\Windows\System\(Dateiname).hta
        wobei (Dateiname) eine Variable darstellt, die sich von System 
        zu System unterscheidet.

    C:\Windows\Start Menu\Programs\Startup\kak.hta
    C:\Windows\Menu Demarrer\Programmes\Demarrage\kak.hta

Die "autoexec.bat" kann durch umbenennen von "C:\AE.KAK" in "C:\autoexec.bat" wiederhergestellt werden.

Kak nutzt ein bekanntes Sicherheitsloch in Microsoft Outlook Express um die lokale .HTA Datei zu erstellen.

Wenn "Active Scripting" in Outlook Express ausgeschaltet ist, funktioniert der Wurm nicht.

Microsoft stellt mehr Informationen zu diesem Thema bereit, unter: http://www.microsoft.com/technet/security/bulletin/fq99-032.asp

Es gibt auch einen Patch zu beheben dieses Problems, unter: http://www.microsoft.com/technet/security/bulletin/ms99-032.asp

[Analysis: Katrin Tocheva and Sami Rautiainen, Deutsche Übersetzung: Whiteman für F-PROT in Deutschland]