製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:K
ウイルス情報
ウイルス情報

ウイルス名
JS/Kak.worm.a
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4051
対応定義ファイル
(現在必要とされるバージョン)
4364 (現在7509)
対応エンジン4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名JS/Kak.worm, Kagou-Anti-Kro$oft, Kak, VBS.Kak.Worm, VBS/Kak, VBS_KAKWORM.A, VBS_KAKWORM.A-M, Wscript.Kak, Wscript.KakWorm
情報掲載日00/01/03
補足ActiveXとWindows Scripting Hostの元で、Outlook Express 5を使って繁殖。英仏版Windowsで動作
発見日(米国日付)99/10
駆除補足(ウイルスなので)検出されたファイルを削除すれば(レジストリ修正などを除き)駆除可能ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
07/23RDN/Generic....
07/23RDN/Generic....
07/23FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7509
 エンジン:5600
 
ウイルス検索
 



このウイルスは、1999年10月に弊社ウイルス研究チームAVERTにより発見しました。DATは4051にて対応しました。 米NAIのニュースグループ・スキャニング・プログラムVirus Patrolは、ニュースグループ投稿の中で、このウイルスの発生を継続的に確認しました。このことは、このウイルスが継続的に繁殖し続けていることを示しています。 AVERTは、このウイルスに対応するために、VirusScanの対象拡張子にHT?を加えることを推奨します。

また、さらに万全を期する場合は、Microsoft社提供のOutlook用セキュリティパッチを適用することも御一考ください。

このインターネットウイルスにはもう一つの危険な側面があります。それは、Outlookのプレビュー・ウインドウが有効になっており、かつユーザーが、「送信済みアイテム」のフォルダをブラウズし、そしてそこにKakworm入りメールが存在していた場合、ウイルス感染が継続的に発生するということです。


Kakwormは、"Scriptlet Typelib"というActiveX、およびJavaScriptを悪用しています。MS Outlook Expressを使ってEメールを通じて増殖します。このウイルスは、1):HTA ファイル (HTML アプリケーション)、2): REGファイル(レジストリ・エントリ更新ファイル)、3): BATファイル(MS-DOSバッチ)の三要素により構成されています。

このウイルスに感染したEメールまたはニューズグループ・メッセージがオープンされ、かつメール・アプリケーションがHTML内のJavaScriptをサポートしていた場合、ウイルススクリプトにより、インターネット・エクスプローラ v5以上がインストールされているかどうかがチェックされます。インストールされていた場合には、"Scriptlet Typelib"と呼ばれるActiveXにより、KAK.HTAというファイルがローカルマシンのスタートアップ・フォルダに書き込まれます。これにより、次回Windows起動時には、HTAファイル内のコードが発動します。

Microsoft社は、この問題に対応するための、セキュリティ・パッチを発行しているます。このパッチがインストールされた場合、「安全でない可能性のある」ActiveXコントロール起動時に、その事に注意を促すメッセージが表示されます。

ローカルマシンには以下のファイルが書きこまれます。

c:\windows\kak.htm
c:\windows\system\(XXXX).hta

kak.htaは以下のフォルダのいずれかに書き込まれます。

フランス語版Windows
c:\windows\Menu Demarrer\Programmes\Demarrage\

英語版Windows
c:\windows\Start Menu\Programs\StartUp\

上記の(XXXX)の部分には、一見して8文字のランダムな文字が挿入されるように思えますが(例:98278AE0.HTA)、実際にはレジストリエントリに関連付けられています。

このウイルスはオリジナルのAUTOEXEC.BATをAE.KAKにコピーします。AUTOEXEC.BATファイルは、KAK.HTAファイルを上書きし、それをスタートアップ・フォルダから削除するように改変されます。また、スクリプトが、REGEDITおよびローカルシステムに書き込まれたREGファイルを使って、シェル・レジストリ・アップデートを実行した時に、システム・レジストリが改変されます。レジストリ改変は以下のようになります。

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cAg0u = "C:\WINDOWS\SYSTEM\(XXXX).hta"

このエントリ(XXXX)は、8文字のキャラクタ(例:98278AE0.HTA)となります。

Eメール増殖機能は、レジストリ変更によるMS Outlookへの署名の追加により、実装されています。この署名は、C:\WINDOWS\KAK.HTMファイルの内容を含むよう設定されています。また、その署名はデフォルト値として登録されます。この署名が含まれていた場合、KAKウイルスは発信メールすべてに搭載され、繁殖します。

このウイルスには日付によって発動する発病ルーチンがあります。毎月1日の午後6時以降になると、以下のメッセージが表示されます。

"Kagou-Anti-Kro$oft says not today!"

また、以下のような偽のエラーメッセージが表示されることもあります。

"S3 driver memory alloc failed"

このメッセージの後、Windowsがシャットダウンされるよう指示が発生します。


Kak.worm入りウイルスメールを受け取った場合、以下の警告メッセージが表示されることがあります。 "Do you want to allow software such as ActiveX controls and plug-ins to run?"
(ActiveXコントロールおよびプラグインが動作することを許可なさりたいですか?)

このプロンプトには「いいえ」と答えてください。また以下の警告ダイアログボックスが表示されることもあります。

"Scripts are usually safe. Do you want to allow scripts to run?"

(スクリプトはほとんどの場合安全です。動作を許可しますか?)

このプロンプトにもやはり「いいえ」と答えてください。