Kak worm
 | Эта статья включает список общих ссылок , но в ней отсутствуют достаточные соответствующие встроенные цитаты . ( Март 2010 г. ) |
| Kak (Kagou Anti Kro$oft) | |
|---|---|
| Тип | Компьютерный червь |
| Источник | 1999 |
| Технические детали | |
| Платформа | Microsoft Windows |
KAK (Kagou Anti Kro$oft) — это JavaScript- червь 1999 года , который использует ошибку в Outlook Express для своего распространения. [ 1 ]
Поведение
[ редактировать ]Первого числа каждого месяца, в 18:00, червь использует SHUTDOWN.EXE, чтобы инициировать завершение работы и показать всплывающее окно с текстом " Каго-анти-Кро$офт говорит: не сегодня! ". При запуске часто появляется свернутое окно с заголовком «Ошибка памяти драйвера». Иногда появляется еще одно сообщение «Ошибка выделения памяти драйвера S3!». Червь также добавляет ключ реестра. HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cAg0u и редактирует файл AUTOEXEC.BAT , чтобы Windows запускала его при запуске.
Червь добавляет в AUTOEXEC.BAT следующие команды:
@ECHO off C:\Windows\Start Menu\Programs\StartUp\kak.hta DEL C:\Windows\Start Menu\Programs\StartUp\kak.hta
Подход
[ редактировать ]KAK работает, используя уязвимость в Microsoft Internet Explorer , который Outlook Express использует для отображения электронной почты в формате HTML. Уязвимость касается элемента управления ActiveX «Scriptlet.Typelib», который обычно используется для создания новых библиотек типов (файлов «.tlb»). Однако элемент управления не устанавливает никаких ограничений на то, какое содержимое помещается в файл библиотеки типов или какое расширение файла он должен иметь. Таким образом, этим элементом управления можно злоупотребить, чтобы создать файл с любым содержимым и с любым расширением.
Поскольку Microsoft не предусмотрела возможность злоупотребления этим элементом управления таким образом, они пометили его как «безопасный для сценариев» в настройках безопасности Internet Explorer по умолчанию. Это означает, что для запуска сценариев, включающих этот элемент управления, не требуется разрешение пользователя. KAK встраивает такой оскорбительный код в подпись сообщения электронной почты, чтобы код запускался при просмотре или предварительном просмотре электронного письма в Outlook Express (поскольку Outlook Express использует Internet Explorer для обеспечения этой функции просмотра/предварительного просмотра для электронных писем в формате HTML).
KAK использует «Scriptlet.Typelib» для создания файла «kak.hta» в папке «Автозагрузка». Этот файл содержит дополнительный код, который будет запущен при следующем запуске компьютера. Поскольку HTA не отображается в Internet Explorer, а выполняется с помощью Windows Scripting Host , код, помещенный KAK в этот файл, имеет даже больше привилегий, чем код, который он помещает в подпись электронного письма.
В следующий раз, когда машина запустится и запустится «kak.hta», KAK выполнит ряд действий, таких как:
- Установка подписи электронной почты пользователя, содержащей код для заражения других систем, чтобы червь мог распространяться.
- Добавление строк в AUTOEXEC.BAT для удаления исходного "kak.hta", чтобы вирус было труднее отследить.
- Создание нового файла «kak.hta», который запускается при запуске и выключает компьютер с 18:00 до полуночи первого дня месяца.
Ссылки
[ редактировать ]- ^ «Как-червь — интернет-вирус Маюра Камата» . Проверено 1 ноября 2019 г.
Внешние ссылки
[ редактировать ]- VBS.KAK kak writeup and info at pchell.com
- Wscript.KakWorm на Symantec.com
- JS/Kak@M on McAfee
 | Эта вредоносном ПО статья о является незавершенной . Вы можете помочь Википедии, расширив ее . |