DIESER SERVICE KANN ÜBERSETZUNGEN VON GOOGLE ENTHALTEN. GOOGLE ÜBERNIMMT KEINERLEI VERANTWORTUNG FÜR DIE ÜBERSETZUNGEN. DARUNTER FÄLLT JEGLICHE VERANTWORTUNG IN BEZUG AUF RICHTIGKEIT UND ZUVERLÄSSIGKEIT SOWIE JEGLICHE STILLSCHWEIGENDEN GEWÄHRLEISTUNGEN DER MARKTGÄNGIGKEIT, NICHT-VERLETZUNG VON RECHTEN DRITTER ODER DER EIGNUNG FÜR EINEN BESTIMMTEN ZWECK.

Die Website von Kaspersky Lab wurde für Ihre Bequemlichkeit mithilfe einer Übersetzungssoftware von Google Translate übersetzt. Es wurden angemessene Bemühungen für die Bereitstellung einer akkuraten Übersetzung unternommen. Bitte beachten Sie, dass automatisierte Übersetzungen nicht perfekt sind und menschliche Übersetzer in keinem Fall ersetzen sollen. Übersetzungen werden den Nutzern der Kaspersky-Lab-Website als Service und "wie sie sind" zur Verfügung gestellt. Die Richtigkeit, Zuverlässigkeit oder Korrektheit jeglicher Übersetzungen aus dem Englischen in eine andere Sprache wird weder ausdrücklich noch stillschweigend garantiert. Einige Inhalte (z. B. Bilder, Videos, Flash, usw.) können aufgrund der Einschränkungen der Übersetzungssoftware möglicherweise nicht inhaltsgetreu übersetzt werden.

Email-Worm.VBS.KakWorm

Kategorie Email-Worm
Plattform VBS
Beschreibung

Technische Details

Dieser Wurm ist in der Sprache Java Script geschrieben, die zur Verbreitung MS Outlook Express verwendet. Der Wurm hängt sich nicht an Nachrichten an, wie es reguläre Wurmviren tun, sondern bettet seinen Körper in eine Nachricht als Skriptprogramm ein.

Der Wurm funktioniert nur mit englischen und französischen Windows-Versionen. Es funktioniert auch nicht, wenn Windows in einem anderen Verzeichnis als "C: WINDOWS" installiert ist.

Der Wurm ist nur mit MS Outlook Express kompatibel. In MS Outlook wird der Wurm aktiviert und infiziert das System, aber es kann sich nicht weiter verbreiten, da MS Outlook Express nur darauf abzielt, seine Kopien zu verbreiten. Bei anderen E-Mail-Systemen hängt die Funktionalität des Wurms von den Funktionen dieses Systems ab.

Während der Wurm das System infiziert, erstellt er drei zusätzliche Dateien mit seiner Kopie. Erstens werden zwei von ihnen verwendet, um das System zu infizieren, und das letzte wird verwendet, um den Code des Wurms über infizierte E-Mail zu verbreiten:

1. KAK.HTA im Windows-Startordner
2. zufällige namens. HTA-Datei im Windows-Systemordner
3. KAK.HTM-Datei im Windows-Ordner

Der Wurm hat eine Payload-Routine. Am 1. eines Monats nach 17:00 Uhr wird folgende Nachricht angezeigt:

Kagou-Anti-Kro $ oft sagt heute nicht!

Erzwingt, dass Windows danach beendet wird.

Verbreitung

Der Wurm kommt auf einem Computer als E-Mail-Nachricht im HTML-Format an. Der Nachrichtentext enthält ein Skript (Java-Script-Programm), das der Wurmkörper selbst ist. Dieses Programm erscheint nicht auf dem Bildschirm, da in HTML-Dokumenten Skriptprogramme nie angezeigt werden. Als Ergebnis wird beim Öffnen einer infizierten Nachricht (oder bei der Vorschau) nur der Nachrichtentext angezeigt und es ist kein Wurmcode sichtbar, aber das Skript wird automatisch vom Mailer ausgeführt und der Wurm erhält die Kontrolle.

Der Wurm infiziert das System und verbreitet sich in drei Schritten.

1. Der Wurm erstellt seine Kopie als eine Datei in einem Windows-Autostart-Ordner.

2. Wenn der Wurm aus dem Windows-Startordner ausgeführt wird, verschiebt er sich in das Windows-Systemverzeichnis, registriert diese neue Kopie in der Systemregistrierung im Autostartabschnitt und entfernt die erste Kopie aus dem Windows-Startordner.

3. Der Wurm greift auf den MS Outlook Express Registry-Abschnitt zu und registriert dort die Wurmkopie als Standardsignatur. Outlook Express sendet dann automatisch den Code des Wurms über alle gesendeten Nachrichten.

Der Wurm benötigt diese Schritte, da er in der ersten Phase nur auf die Festplattendateien und nicht auf die Systemregistrierung zugreifen kann. Daher muss er von einer Festplattendatei (aus der "Lokalen Intranetzone") ausgeführt werden, um die Registrierungsschlüssel zu ändern. Der Wurm löscht dann seine Kopie aus dem Windows-Startordner, um sich zu verbergen, und alle darin enthaltenen Programme sind im StartProgramsStartup-Menü sichtbar.

Verbreitung: Schritt 1 – wird von einer infizierten Nachricht ausgeführt

Nach der Aktivierung von einer infizierten Nachricht erhält der Wurm Zugriff auf die lokale Festplatte eines Computers. Um den Sicherheitsschutz zu vermeiden (der lokale Festplattenzugriff ist standardmäßig nicht zulässig), verwendet der Wurm eine Sicherheitsverletzung namens "TypLib-Sicherheitsanfälligkeit". Der Wurm erstellt ein ActiveX-Objekt, das als sicher für die Skripterstellung markiert ist, und kann Dateien auf die Festplatte schreiben. Durch die Verwendung dieses ActiveX-Objekts erhält der Wurm schriftlichen Zugriff auf die Festplatte.

Der Wurm erstellt dann die Datei KAK.HTA und legt dort seinen eigenen Code ab. Diese Datei befindet sich im Windows-Startverzeichnis und wird daher beim nächsten Windows-Start ausgeführt.

Kommentar:

Eine HTA-Datei ist eine HTML-Anwendung – der Dateityp, der nach der Installation angezeigt wird
Internet Explorer 5.0. HTA-Dateien enthalten regulären HTML-Text mit Skripts
innerhalb, aber bei der Ausführung läuft es als eigenständige Anwendung – ohne
die Internet Explorer-Shell. Es bietet die Möglichkeit, mächtig zu schreiben
Anwendungen, die reguläre Skripte in HTML verwenden.

Beim Erstellen der KAK.HTA-Datei bestimmt der Wurm keinen echten Pfad zum Windows-Verzeichnis und nimmt immer an, dass Windows im Ordner "C: WINDOWS" installiert ist. Daher kann sich der Wurm nicht auf einem System verbreiten, auf dem Windows in einem anderen Verzeichnis als "C: WINDOWS" installiert wurde. Der Wurm versucht zwei Varianten des Windows-Startordners, in den er kopiert werden soll:

MENUD� ~ 1PROGRA ~ 1D�MARR ~ 1 (Standardname in der französischen Windows-Version)
STARTM ~ 1ProgramsStartUp (Standardname in englischer Windows-Version)

Falls das Windows-Startverzeichnis einen anderen Namen hat (in einer anderen Windows-Lokalisierung), kann der Wurm seine Datei dort nicht schreiben und kann sich daher nicht weiter verbreiten.

Verbreitung: Schritt 2 – wird von KAK.HTA ausgeführt

Beim nächsten Windows-Neustart wird die Datei "KAK.HTA" aus dem Windows-Startverzeichnis aktiviert. Das Skriptprogramm in dieser Datei erstellt dieselbe HTA-Datei im Windows-Systemverzeichnis. Diese Datei hat einen systemabhängigen Namen (wie "9A4ADF27.HTA"). Der Wurm ändert dann die Systemregistrierung, um diese Datei bei jedem Windows-Start auszuführen. Wenn ein Benutzer die standardmäßige Outlook Express-Signatur ändert, werden die Komponenten und Registrierungseinstellungen des Wurms mit dem Skript in dieser Datei wiederhergestellt. dh es wird das System erneut infizieren.

Das "KAK.HTA" -Skript erstellt dann die Datei "KAK.HTM", die nur den Code des Wurms enthält (die HTML-Seite hat keinen anderen Text als nur das reine Wurm-Skript anzuzeigen). Diese Datei wird später verwendet, um Nachrichten zu infizieren.

Schließlich hängt das Skript an die Datei "C: AUTOEXEC.BAT" Dateibefehle, die "KAK.HTA" aus dem Startverzeichnis löschen, da es sie nicht mehr benötigt.

Verbreitung: Schritt 3 – Senden infizierter Nachrichten

Dasselbe Skript ("KAK.HTA") ändert dann die Systemregistrierung. Es erstellt eine neue Outlook Express-Signatur, die sich auf die Datei "KAK.HTM" bezieht, und legt diese Signatur als Standardsignatur in Outlook Express fest. Ab diesem Zeitpunkt fügt jedes Mal, wenn Outlook Express eine Nachricht verfasst, die infizierte Signatur in die Nachricht ein (der Inhalt der Datei "KAK.HTM").

Der Wurm kann nur die via HTML-Nachrichten (und das sind die MS Outlook Express) Standardeinstellungen verbreiten. Die RTF- und "Nur-Text" -Nachrichten sind nicht infiziert und können nicht infiziert werden.

Schutz

Das Problem besteht darin, dass ein regelmäßiges Anti-Virus-Scannen mit On-Demand-Scannern keinen Schutz gegen diese Art von Würmern bietet. Jedes Mal, wenn eine infizierte Nachricht in Outlook geöffnet wird, wird der Wurm erneut angezeigt. Wenn Outlook Express außerdem so konfiguriert ist, dass ein Vorschaubereich angezeigt wird, reicht es aus, die infizierte Nachricht aus der Liste auszuwählen, damit der Wurm aktiviert wird.

1. Um sich selbst zu schützen, ist es möglich, On-Access-Scanner zu verwenden, um den Wurm zu fangen, wenn er sich selbst auf die Festplatte schreibt. On-Access-Scanner können die Aktivierung des Wurms jedoch nicht verhindern, da Skripte in E-Mail-HTML-Nachrichten direkt im Systemspeicher ausgeführt werden und nicht von einer Datei auf der Festplatte gespeichert werden.

Die beste Vorgehensweise besteht darin, Anti-Virus-Dienstprogramme zu verwenden, die Skriptprogramme überprüfen, bevor sie ausgeführt werden (siehe "AVP Script Checker"). Solche Programme können die Aktivierung und Infektion des Wurms verhindern.

2. Um eine eigene Datei auf den Datenträger zu schreiben, verwendet der Wurm eine Internet Explorer 5.0-Sicherheitsverletzung. Microsoft hat ein Update veröffentlicht, das die Sicherheitsanfälligkeit "Scriptlet.TypeLib" beseitigt. Wir empfehlen dringend, dass Sie http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP besuchen und dieses Update installieren.

3. Wenn Sie keine HTML-Anwendungen (HTA-Dateien) bei der Arbeit verwenden möchten, gibt es eine andere Möglichkeit, eine Infektion durch Viren dieses Typs zu verhindern (die Würmer und Viren, die HTA-Dateien zur Verbreitung verwenden). Es ist erforderlich, die Dateizuordnung für die Erweiterung .HTA zu entfernen. Um dies zu tun, müssen Sie mehrere Schritte folgen:

1. Doppelklicken Sie auf Ihrem Desktop auf das Symbol "Arbeitsplatz".
2. Wählen Sie im erscheinenden Fenster das Menü "Ansicht" -> "Optionen …".
3. Wählen Sie im Listenfeld "Dateitypen" im Listenfeld "Registrierte Dateitypen" den Eintrag "HTML-Anwendung".
4. Klicken Sie auf die Schaltfläche "Entfernen" und bestätigen Sie die Aktion.
5. Schließen Sie das Dialogfeld Optionen.


Link zum Original