ウイルス情報

ウイルス名 危険度

JS/Kak@M

企業ユーザ: 中
個人ユーザ: 中
種別 ウイルス
最小定義ファイル
(最初に検出を確認したバージョン)
4051
対応定義ファイル
(現在必要とされるバージョン)
4364 (現在7656)
対応エンジン 4.1.60以降 (現在5600) 
エンジンバージョンの見分け方
別名 JS/Kak.dam: JS/Kak.worm.a: Kagou-Anti-Kro$oft: Kak: Kakworm: VBS.Kak.Worm: VBS/Kak: VBS_KAKWORM.A: VBS_KAKWORM.A-M: Wscript.Kak: Wscript.KakWorm
亜種 JS/Kak.worm.b
情報掲載日 03/02/24
発見日(米国日付) 99/10/22
駆除補足 ウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

ウイルスの特徴

・JS/Kak@Mの詳細情報についてはこちらをご覧ください。

・JS/Kak@Mは1999年10月にAVERTが発見したワームで、定義ファイル4051に検出機能が追加されました。しかしVirus Patrol(米ネットワークアソシエイツ社のニュースグループスキャニングプログラム)では、JS/Kak@Mが繁殖し続けているという投稿がニュースグループに寄せられたこともあり、引き続きこのワームの活動を検出しています。スキャンするファイルの拡張子に".HT?"を追加することをお勧めします。下記のマイクロソフト社のセキュリティバッチをインストール済みであることを確認して下さい。

・JS/Kak@Mは、プレビューウィンドウが表示してユーザーの"送信済みアイテム"フォルダにある、このワームを含んでいるメッセージなどをブラウズすると、パッチを適用していないシステムには何度でも感染します。JS/Kak@Mにはこのような危険性もあるので、セキュリティパッチを適用していないユーザは、すぐにインストールして下さい。

・JS/Kak@Mはインターネットワームです。JavaScriptとActiveXコントロールの"Scriptlet Typelib"を使用して、MS Outlook Expressで自身を電子メールで送信して繁殖します。このワームは、HTAファイル(HTML Application)、REGファイル(Registration Entries Update)およびBATファイル(MS-DOS Batch)で構成されています。

・HTMLのJavaScriptに対応しているリーダでこのワームに感染した電子メールまたはニュースグループメッセージを開くと、スクリプトがターゲットシステムにMS Internet Explorer 5以降がインストールされているかを確認します。インストールされている場合は、"Scriptlet TypeLib"というActiveXのエクスプロイトを悪用してこのローカルマシンのStartupフォルダにKAK.HTAファイルを書き込み、次回のWindows起動時にこのファイルに埋め込まれたコードを起動します。マイクロソフト社では、このActiveXエクプロイトに対応するセキュリティパッチのアップデート版を提供していますので、システムをアップデートして下さい。アップデートする際に、"安全でない可能性のある"ActiveXコントロールを実行するかどうかを確認するメッセージが表示されます。

・この脆弱性に関する情報およびマイクロソフト社からのパッチの入手に関する詳細情報は、以下で入手できます。

  • Microsoft Security Bulletin


  • ・マイクロソフト社のパッチは、以下のサイトで入手できます。
  • http://www.microsoft.com/msdownload/iebuild/scriptlet/en/scriptlet.htm


  • ・マイクロソフト社の最新のセキュリティ情報は以下をご覧ください。
  • Current Bulletins
  • ・感染システムでは、デフォルトの署名が改変されるので、HTML形式の電子メールメッセージはこのワームでコード化されます。電子メールアプリケーションのOutlookは、HTML形式の電子メールメッセージに対応している為、このワームが繁殖するのに悪用されます。このワームでコード化された電子メールメッセージが実行されると、以下のファイルをローカルマシン上の別々の場所に書き込みます。

  • c:\windows\kak.htm
  • c:\windows\system\(name).hta
  • ・kak.htaファイルは以下のフォルダのいずれかに書き込まれます。

    フランス語版Windows

  • C:\WINDOWS\Menu D駑arrer\Programmes\D駑arrage\kak.hta


  • 英語版Windows
  • c:\windows\Start Menu\Programs\StartUp\
  • ・上記の.htaファイルの"(name)"は8文字のランダムな文字(例:98278AEO.HTA)のように見えますが、実際はレジストリエントリに直接関連しています。

    ・ワームは、まず初めにオリジナルのAUTOEXEC.BATファイルをAE.KAKにコピーします。次に、AUTOEXEC.BATファイルを改変してKAK.HTAファイルを上書きし、KAK.HTAファイルをStartUpフォルダから削除します。regeditおよびローカルシステムに書き込まれたREGファイルを使用してスクリプトがシェルレジストリをアップデートすると、システムレジストリも以下のように改変されます。

  • HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

  • cAg0u = "C:\WINDOWS\SYSTEM\(name).hta"

    注:"(name)"は、8文字のファイル名です。(例:98278AEO.HTA)

    ・電子メールを介しての繁殖は、レジストリを改変し、MS Outlookに署名を追加して実行されます。C:\WINDOWS\kak.htmファイルを含む署名がデフォルトとして設定されているので、署名を挿入して送信されたすべての電子メールメッセージによってワームが繁殖します。

    ・このワームには、特定の日付に発病するルーチンもあります。

    ・毎月1日の午後6時(現地時間)から"Kagou-Anti-Kro$oft says not today!" というメッセージを表示します。

    TOPへ戻る

    以下の症状が見られる場合、このウイルスに感染している可能性があります。

    ・JS/Kak@Mを含んだ電子メールを受信すると、"Do you want to allow software such as ActiveX controls and plug-ins to run?" という警告メッセージが表示されることがあります。"NO"を選択して下さい。

    ・"Scripts are usually safe. Do you want to allow scripts to run?" という警告ダイアログボックスが表示されることもあります。ここでも"NO"を選択して下さい。

    ・上記のKAK.HTAファイルおよびKAK.HTMファイルが存在します。

    ・上記のようにレジストリが改変されます。

    ・上記のように署名が追加される、またはデフォルトの署名が改変されます。

    ・毎月1日の午後6時(現地時間)から"Kagou-Anti-Kro$oft says not today!" というメッセージを表示します。

    ・"S3 driver memory alloc failed" という偽のエラーメッセージが表示されることもあります。このメッセージを表示した後、Windowsがシャットダウンします。

    TOPへ戻る

    感染方法

    ・このワームのスクリプトを含んだHTML形式の電子メールメッセージを開くと、Internet Explorer 5 以降がインストールされているシステムにワームをインストールします。HTAファイルとHTMファイルはローカルマシンに書き込まれ、システムスタートアップ時に個々のHTML形式の電子メールとして作成されます。

    ・このワームの駆除は以下のステップで行ってください。

  • 電子メールクライアントを閉じる
  • 上記のマイクロソフト社のパッチをインストールする
  • KAK.HTAおよび/またはKAK.HTMを削除する
  • "プレビューウィンドウ"を閉じる(オプション)
  • デフォルトの電子メールの署名の設定を削除する(ツール/オプション/署名)
  • 不要な電子メールメッセージを削除する(コード化されたスクリプトを含んでいる可能性があります)
  • ・Windows環境からWindows Scripting Hostを削除すると効果があるかもしれません。Windows 9xシステムでWindows Scripting Hostを削除するには、「コントロールパネル」の「プログラムの追加/削除」を選択してください。「Windowsセットアップ」のタブをクリックし、「アクセサリ」をダブルクリックします。「Windows Scripting Host」までスクロールダウンしてチェックをはずし、「OK」をクリックします。システムの再起動が必要な場合があります。その他のヘルプ、サポート情報は、マイクロソフト社の サポートシステムサイトをご覧ください。

    ・制限付きのサイトの"アクティブスクリプト"を無効にし、電子メールを制限付きサイトゾーンで送受信したい場合は、以下のように行なって下さい。

  • Internet Explorerを開く
  • メニューから「ツール」を選択する
  • 「インターネットオプション」を選択する
  • 「セキュリティ」のタブをクリックする
  • 「制限付きサイト」のアイコンをクリックする
  • 「レベルのカスタマイズ」をクリックする
  • 「アクティブスクリプト」までスクロールして「無効にする」または「ダイアログを表示する」を設定する
  • 「OK」をクリックする
  • Outlookを開く
  • メニューから「ツール」を選択する
  • 「オプション」を選択する
  • 「セキュリティ」のタブをクリックする
  • 「セキュリティゾーン」の「制限付きサイトゾーン」を選択する
  • TOPへ戻る



    亜種情報

      名称種別亜類別相違点
      JS/Kak.worm.bトロイの木馬VbScript KAK.HTA → DAY.HTA KAK.HTM → DAY.HTM
      検出に定義ファイル4088以上が必要です。