McAfee for Small Businesses

・JS/Kak@Mの詳細情報についてはこちらをご覧ください。

・JS/Kak@Mは1999年10月にAVERTが発見したワームで、定義ファイル4051に検出機能が追加されました。しかしVirus Patrol（米ネットワークアソシエイツ社のニュースグループスキャニングプログラム）では、JS/Kak@Mが繁殖し続けているという投稿がニュースグループに寄せられたこともあり、引き続きこのワームの活動を検出しています。スキャンするファイルの拡張子に".HT?"を追加することをお勧めします。下記のマイクロソフト社のセキュリティバッチをインストール済みであることを確認して下さい。

・JS/Kak@Mは、プレビューウィンドウが表示してユーザーの"送信済みアイテム"フォルダにある、このワームを含んでいるメッセージなどをブラウズすると、パッチを適用していないシステムには何度でも感染します。JS/Kak@Mにはこのような危険性もあるので、セキュリティパッチを適用していないユーザは、すぐにインストールして下さい。

・JS/Kak@Mはインターネットワームです。JavaScriptとActiveXコントロールの"Scriptlet Typelib"を使用して、MS Outlook Expressで自身を電子メールで送信して繁殖します。このワームは、HTAファイル（HTML Application）、REGファイル（Registration Entries Update）およびBATファイル（MS-DOS Batch）で構成されています。

・HTMLのJavaScriptに対応しているリーダでこのワームに感染した電子メールまたはニュースグループメッセージを開くと、スクリプトがターゲットシステムにMS Internet Explorer 5以降がインストールされているかを確認します。インストールされている場合は、"Scriptlet TypeLib"というActiveXのエクスプロイトを悪用してこのローカルマシンのStartupフォルダにKAK.HTAファイルを書き込み、次回のWindows起動時にこのファイルに埋め込まれたコードを起動します。マイクロソフト社では、このActiveXエクプロイトに対応するセキュリティパッチのアップデート版を提供していますので、システムをアップデートして下さい。アップデートする際に、"安全でない可能性のある"ActiveXコントロールを実行するかどうかを確認するメッセージが表示されます。

・この脆弱性に関する情報およびマイクロソフト社からのパッチの入手に関する詳細情報は、以下で入手できます。

・感染システムでは、デフォルトの署名が改変されるので、HTML形式の電子メールメッセージはこのワームでコード化されます。電子メールアプリケーションのOutlookは、HTML形式の電子メールメッセージに対応している為、このワームが繁殖するのに悪用されます。このワームでコード化された電子メールメッセージが実行されると、以下のファイルをローカルマシン上の別々の場所に書き込みます。

・kak.htaファイルは以下のフォルダのいずれかに書き込まれます。

フランス語版Windows

・上記の.htaファイルの"(name)"は8文字のランダムな文字(例：98278AEO.HTA）のように見えますが、実際はレジストリエントリに直接関連しています。

・ワームは、まず初めにオリジナルのAUTOEXEC.BATファイルをAE.KAKにコピーします。次に、AUTOEXEC.BATファイルを改変してKAK.HTAファイルを上書きし、KAK.HTAファイルをStartUpフォルダから削除します。regeditおよびローカルシステムに書き込まれたREGファイルを使用してスクリプトがシェルレジストリをアップデートすると、システムレジストリも以下のように改変されます。

・電子メールを介しての繁殖は、レジストリを改変し、MS Outlookに署名を追加して実行されます。C:\WINDOWS\kak.htmファイルを含む署名がデフォルトとして設定されているので、署名を挿入して送信されたすべての電子メールメッセージによってワームが繁殖します。

・このワームには、特定の日付に発病するルーチンもあります。

・毎月1日の午後6時(現地時間）から"Kagou-Anti-Kro$oft says not today!" というメッセージを表示します。