CE SERVICE PEUT CONTENIR DES TRADUCTIONS GÉNÉRÉES PAR GOOGLE. GOOGLE DÉCLINE TOUTE GARANTIE, EXPLICITE OU IMPLICITE, Y COMPRIS LES GARANTIES D'EXACTITUDE, DE FIABILITÉ, AINSI QUE TOUTE GARANTIE IMPLICITE DE COMMERCIALISATION ET D'ADAPTATION À DES FINS PARTICULIÈRES ET À L'ABSENCE DE CONTREFAÇONS.

Le site internet de Kaspersky Lab a été traduit pour votre commodité en utilisant un logiciel de traduction générée par Google. Des efforts raisonnables ont été faits pour fournir une traduction exacte. Cependant, aucune traduction automatique n'est parfaite et l'objectif n'est pas de remplacer le travail des traducteurs. Le site internet de Kaspersky Lab fournit ces traductions comme un service pour ses utilisateurs, et elles ont été publiées "telles quelles". Aucune garantie, explicite ou implicite, n'est faite au sujet de l'exactitude, de fiabilité ou de conformité de ces traductions faites de l'anglais vers une autre langue. Certains contenus (images, vidéos, Flash, etc.) peuvent ne pas être traduits correctement à cause des limites du logiciel de traduction.

Email-Worm.VBS.KakWorm

Classe Email-Worm
Plateforme VBS
Description

Détails techniques

Ce ver est écrit dans le langage Java Script, qui, pour l'étalement, utilise MS Outlook Express. Le ver ne s'attache pas aux messages comme le font les virus de vers ordinaires, mais intègre son corps dans un message en tant que programme de script.

Le ver ne fonctionne que sur les versions Windows anglaises et françaises. Cela ne fonctionne pas non plus dans le cas où Windows est installé dans un répertoire autre que "C: WINDOWS".

Le ver est entièrement compatible avec MS Outlook Express uniquement. Dans MS Outlook, le ver est activé et infecte le système, mais il ne peut pas se propager davantage, car il cible uniquement MS Outlook Express pour diffuser ses copies. Sur les autres systèmes de messagerie, la fonctionnalité du ver dépend des fonctionnalités de ce système.

En infectant le système, le ver crée trois fichiers supplémentaires avec sa copie. D'abord, deux d'entre eux sont utilisés pour infecter le système et le dernier est utilisé pour propager le code du ver via un courrier électronique infecté:

1. KAK.HTA dans le dossier de démarrage de Windows
2. fichier nommé .HTA aléatoire dans le dossier système Windows
3. Fichier KAK.HTM dans le dossier Windows

Le ver a une routine de charge utile. Le 1er de chaque mois après 17h00, il affiche le message suivant:

Kagou-Anti-Kro $ oft dit pas aujourd'hui!

forcer Windows à sortir après cela.

Diffusion

Le ver arrive sur un ordinateur sous la forme d'un message électronique au format HTML. Le corps du message contient un script (programme de script Java) qui est le corps du ver lui-même. Ce programme n'apparaît pas à l'écran, car dans les documents HTML, les programmes de script ne sont jamais affichés. Par conséquent, lors de l'ouverture d'un message infecté (ou lors de la prévisualisation), seul le corps du message est affiché et aucun code de ver n'est visible, mais le script est automatiquement exécuté par l'expéditeur et le ver reçoit le contrôle.

Le ver infecte le système et se propage en trois étapes.

1. Le ver crée sa copie en tant que fichier disque dans un dossier de démarrage Windows (démarrage automatique).

2. Lorsque le ver est exécuté à partir du dossier de démarrage de Windows, il se déplace dans le répertoire système Windows, enregistre cette nouvelle copie dans le registre système dans la section démarrage automatique et supprime la première copie du dossier de démarrage de Windows.

3. Le ver accède à la section de registre MS Outlook Express et enregistre la copie du ver comme signature par défaut. Outlook Express enverra alors automatiquement le code du ver via tous les messages envoyés.

Le ver a besoin de ces étapes, car dans la première phase, il ne peut accéder qu'aux fichiers disque, pas au registre système. Il doit donc être exécuté à partir d'un fichier disque (de "Local Intranet zone") pour modifier les clés de registre. Le ver supprime alors sa copie du dossier de démarrage de Windows pour se cacher, et tous les programmes sont visibles dans le menu StartProgramsStartup.

Spreading: étape 1 – être exécuté à partir d'un message infecté

Lors de l'activation d'un message infecté, le ver accède au disque local d'un ordinateur. Pour éviter la protection de la sécurité (accès au disque local interdit par défaut), le ver utilise une violation de sécurité nommée «Vulnérabilité de sécurité TypeLib». Le ver crée un objet ActiveX marqué comme sûr pour les scripts et a la possibilité d'écrire des fichiers sur le disque. En utilisant cet objet ActiveX, le ver obtient un accès écrit au disque.

Le ver crée ensuite le fichier KAK.HTA et y place son propre code. Ce fichier est placé dans le répertoire de démarrage de Windows et, par conséquent, il sera exécuté au prochain démarrage de Windows.

Commentaire:

Un fichier HTA est une application HTML – le type de fichier qui apparaît après l'installation
Internet Explorer 5.0. Les fichiers HTA contiennent du texte HTML régulier avec des scripts
à l'intérieur, mais en cours d'exécution, il fonctionne comme une application autonome – sans
le shell Internet Explorer. Il fournit la possibilité d'écrire puissant
applications utilisant des scripts réguliers en HTML.

Lors de la création du fichier KAK.HTA, le ver ne détermine pas un chemin d'accès réel au répertoire Windows et suppose toujours que Windows est installé dans le dossier "C: WINDOWS". Par conséquent, le ver est incapable de se propager sur un système où Windows a été installé dans un autre répertoire que "C: WINDOWS". Le ver essaie deux variantes du dossier de démarrage Windows dans lequel placer sa copie:

MENUD� ~ 1PROGRA ~ 1D�MARR ~ 1 (nom par défaut dans la version française de Windows)
STARTM ~ 1ProgramsStartUp (nom par défaut en anglais Version Windows)

Dans le cas où le répertoire de démarrage de Windows a un autre nom (dans une autre localisation Windows), le ver est incapable d'y écrire son fichier et ne peut donc pas se propager davantage.

Spreading: étape 2 – en cours d'exécution à partir de KAK.HTA

Lors du redémarrage de Windows suivant, le fichier "KAK.HTA" est activé depuis le répertoire de démarrage de Windows. Le programme de script dans ce fichier crée le même fichier HTA dans le répertoire système Windows. Ce fichier a un nom dépendant du système (comme "9A4ADF27.HTA"). Le ver modifie ensuite le registre du système pour exécuter ce fichier à chaque démarrage de Windows. Dans le cas où un utilisateur modifie la signature Outlook Express par défaut, le script de ce fichier restaurera les composants et les paramètres de registre du ver; c'est-à-dire qu'il va réinfecter le système.

Le script "KAK.HTA" crée alors le fichier "KAK.HTM" qui contient uniquement le code du ver (cette page HTML n'a pas de texte à afficher autre que le script pur worm). Ce fichier est utilisé plus tard pour infecter les messages.

Enfin, le script ajoute aux commandes du fichier "C: AUTOEXEC.BAT" qui suppriment "KAK.HTA" du répertoire de démarrage, car il n'en a plus besoin.

Diffusion: étape 3 – Envoi de messages infectés

Le même script ("KAK.HTA") modifie ensuite le registre du système. Il crée une nouvelle signature Outlook Express qui fait référence au fichier "KAK.HTM" et définit cette signature comme la signature par défaut dans Outlook Express. À partir de ce moment, chaque fois qu'Outlook Express compose un message, il insère la signature infectée dans le message (le contenu du fichier "KAK.HTM").

Le ver est capable de diffuser uniquement les paramètres par défaut via les messages HTML (et ce sont les MS Outlook Express). Les messages RTF et "texte brut" ne sont pas infectés et ne peuvent pas être infectés.

Protéger

Le problème est que l'analyse antivirus régulière à l'aide de scanners à la demande n'offre pas de protection contre ce type de vers. Chaque fois qu'un message infecté est ouvert dans Outlook, le ver réapparaîtra. De plus, si Outlook Express se configure pour afficher un volet de prévisualisation, il suffit de sélectionner le message infecté dans la liste pour que le ver soit activé.

1. Afin de vous protéger, il est possible d'utiliser des scanners à l'accès pour attraper le ver au moment où il s'écrit sur le disque. Mais les scanners à l'accès ne peuvent pas empêcher l'activation du ver, car les scripts des messages HTML de courrier électronique sont exécutés directement dans la mémoire du système, ne sont pas stockés et s'exécutent à partir d'un fichier disque.

La meilleure solution consiste à utiliser des utilitaires anti-virus qui vérifient les programmes de script juste avant leur exécution (voir "AVP Script Checker"). De tels programmes peuvent empêcher l'activation du ver et l'infection du système.

2. Pour écrire son propre fichier sur le disque, le ver utilise une faille de sécurité Internet Explorer 5.0. Microsoft a publié une mise à jour qui élimine la vulnérabilité de sécurité "Scriptlet.Typelib". Nous vous recommandons fortement de visiter http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP et d'installer cette mise à jour.

3. Si vous ne prévoyez pas d'utiliser des applications HTML (fichiers HTA) au travail, il existe un autre moyen de prévenir les infections de ce type (les vers et les virus qui utilisent les fichiers HTA pour se propager). Il est nécessaire de supprimer l'association de fichier pour l'extension .HTA. Pour ce faire, vous devez suivre plusieurs étapes:

1. Double-cliquez sur l'icône "Poste de travail" sur votre bureau.
2. Dans la fenêtre qui apparaît, choisissez le menu "Affichage" -> "Options …".
3. Dans l'onglet "Types de fichiers" de la zone de liste "Types de fichiers enregistrés", sélectionnez l'élément "Application HTML".
4. Cliquez sur le bouton "Supprimer" et confirmez l'action.
5. Fermez la boîte de dialogue des options.


Lien vers l'original