ウイルス情報ウイルス情報| ファイルサイズ | 低 | 最小定義ファイル
(最初に検出を確認したバージョン) | 4051 | 対応定義ファイル
(現在必要とされるバージョン) | 4364 (現在7083) | | 対応エンジン | 4.0.25以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | JS/Kak.worm, Kagou-Anti-Kro$oft, Kak, VBS.Kak.Worm, VBS/Kak, VBS_KAKWORM.A, VBS_KAKWORM.A-M, Wscript.Kak, Wscript.KakWorm | | 情報掲載日 | 00/01/03 | | 補足 | ActiveXとWindows Scripting Hostの元で、Outlook Express 5を使って繁殖。英仏版Windowsで動作 | | 発見日(米国日付) | 99/10 | | 駆除補足 | (ウイルスなので)検出されたファイルを削除すれば(レジストリ修正などを除き)駆除可能ウイルス駆除のヒント
| |
|
|
このウイルスは、1999年10月に弊社ウイルス研究チームAVERTにより発見しました。DATは4051にて対応しました。
米NAIのニュースグループ・スキャニング・プログラムVirus Patrolは、ニュースグループ投稿の中で、このウイルスの発生を継続的に確認しました。このことは、このウイルスが継続的に繁殖し続けていることを示しています。
AVERTは、このウイルスに対応するために、VirusScanの対象拡張子にHT?を加えることを推奨します。
また、さらに万全を期する場合は、Microsoft社提供のOutlook用セキュリティパッチを適用することも御一考ください。
このインターネットウイルスにはもう一つの危険な側面があります。それは、Outlookのプレビュー・ウインドウが有効になっており、かつユーザーが、「送信済みアイテム」のフォルダをブラウズし、そしてそこにKakworm入りメールが存在していた場合、ウイルス感染が継続的に発生するということです。
Kakwormは、"Scriptlet Typelib"というActiveX、およびJavaScriptを悪用しています。MS Outlook Expressを使ってEメールを通じて増殖します。このウイルスは、1):HTA ファイル (HTML アプリケーション)、2): REGファイル(レジストリ・エントリ更新ファイル)、3): BATファイル(MS-DOSバッチ)の三要素により構成されています。
このウイルスに感染したEメールまたはニューズグループ・メッセージがオープンされ、かつメール・アプリケーションがHTML内のJavaScriptをサポートしていた場合、ウイルススクリプトにより、インターネット・エクスプローラ v5以上がインストールされているかどうかがチェックされます。インストールされていた場合には、"Scriptlet Typelib"と呼ばれるActiveXにより、KAK.HTAというファイルがローカルマシンのスタートアップ・フォルダに書き込まれます。これにより、次回Windows起動時には、HTAファイル内のコードが発動します。
Microsoft社は、この問題に対応するための、セキュリティ・パッチを発行しているます。このパッチがインストールされた場合、「安全でない可能性のある」ActiveXコントロール起動時に、その事に注意を促すメッセージが表示されます。
ローカルマシンには以下のファイルが書きこまれます。
c:\windows\kak.htm
c:\windows\system\(XXXX).hta
kak.htaは以下のフォルダのいずれかに書き込まれます。
フランス語版Windows
c:\windows\Menu Demarrer\Programmes\Demarrage\
英語版Windows
c:\windows\Start Menu\Programs\StartUp\
上記の(XXXX)の部分には、一見して8文字のランダムな文字が挿入されるように思えますが(例:98278AE0.HTA)、実際にはレジストリエントリに関連付けられています。
このウイルスはオリジナルのAUTOEXEC.BATをAE.KAKにコピーします。AUTOEXEC.BATファイルは、KAK.HTAファイルを上書きし、それをスタートアップ・フォルダから削除するように改変されます。また、スクリプトが、REGEDITおよびローカルシステムに書き込まれたREGファイルを使って、シェル・レジストリ・アップデートを実行した時に、システム・レジストリが改変されます。レジストリ改変は以下のようになります。
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cAg0u = "C:\WINDOWS\SYSTEM\(XXXX).hta"
このエントリ(XXXX)は、8文字のキャラクタ(例:98278AE0.HTA)となります。
Eメール増殖機能は、レジストリ変更によるMS Outlookへの署名の追加により、実装されています。この署名は、C:\WINDOWS\KAK.HTMファイルの内容を含むよう設定されています。また、その署名はデフォルト値として登録されます。この署名が含まれていた場合、KAKウイルスは発信メールすべてに搭載され、繁殖します。
このウイルスには日付によって発動する発病ルーチンがあります。毎月1日の午後6時以降になると、以下のメッセージが表示されます。
"Kagou-Anti-Kro$oft says not today!"
また、以下のような偽のエラーメッセージが表示されることもあります。
"S3 driver memory alloc failed"
このメッセージの後、Windowsがシャットダウンされるよう指示が発生します。
Kak.worm入りウイルスメールを受け取った場合、以下の警告メッセージが表示されることがあります。
"Do you want to allow software such as ActiveX controls and plug-ins to run?"
(ActiveXコントロールおよびプラグインが動作することを許可なさりたいですか?)
このプロンプトには「いいえ」と答えてください。また以下の警告ダイアログボックスが表示されることもあります。
"Scripts are usually safe. Do you want to allow scripts to run?"
(スクリプトはほとんどの場合安全です。動作を許可しますか?)
このプロンプトにもやはり「いいえ」と答えてください。
| 
