McAfee AVERT - A Division of NAI

JS/Kak@M

概要
・JS/Kak@Mは、何か月も広く一般に出回っているウイルスです。ほとんどのウイルス対策製品にはこのウイルスの検出、削除機能が付加されていますが、テクニカルサポート部門には、現在も多数のユーザからこのウイルスに関する問合せがあります。

ウイルスの概要
AVERTは、1999年10月22日にJS/Kak@Mのコピーを受け取りました。このウイルスの発生地はニューカレドニアです。キャラクタセット“ Cag0u”を含み、“Kagou-Anti-Kro$oft says not today!”というメッセージを表示します。

カグー

カグー (学名:Rhinochetos jubatus):ニューカレドニア原産で冠羽があり、珍鳥、渉禽類の上部は灰色だが下部は色が薄くなる、翼と尾の羽毛は、茶、黒、灰色の美しい横縞模様、ジャノメドリと同目に属する
(出典:Webster's Revised Unabridged Dictionary, © 1996, 1998 MICRA, Inc.)

・JS/Kak@Mは電子メールを介して繁殖し、ワームとも呼ばれるウイルスです。このウイルスのコードは単純なスクリプトで、HTML形式の電子メールメッセージの内部に暗号化されています。ウイルス未対策のシステムで感染したメッセージ(HTML形式)を受け取ると、以下のいずれかの症状を示します。

  1. Internet Explorer 5にWindows Scripting Hostがインストールされており、メールシステムにOutlook Express 5を使用している場合は、ウイルスは自身をマシンにインストールし、HTML形式の送信メッセージにはウイルスのコピーが含まれます。
  2. Windows Scripting Hostがインストールされていない、またはメールシステムにOutlook Express 5を使用していない場合は、送信メッセージにウイルスは含まれません。ただし、HTML形式の感染したメッセージを返信、転送、リダイレクトする場合にオリジナルのメッセージを含んでいると、受信者にウイルスを送付してしまいます。

・このウイルスは電子メールメッセージの内部に暗号化されているため添付ファイルでは繁殖しません。そのため電子メールメッセージは全く無害なように見えます。しかしOutlook Express 5でプレビューウインドウを表示する設定になっていると、感染したメッセージを開かなくても件名をハイライトするだけでウイルスに感染します。

・Internet Explorer 5にはセキュリティレベル“高”を設定するオプションがありますが、このウイルスはセキュリティホールを悪用して自身を密かに実行します。マイクロソフト社では、この“script.typelib/Eyedog”の脆弱性(MS99-032)に対応するパッチを提供しています。

・このセキュリティホールに関する詳細情報は、以下をご覧ください。

  • http://www.microsoft.com/japan/technet/treeview/default.asp?url=/japan/technet/security/bulletin/ms99-032.asp
  • ・マイクロソフト社のパッチ(英語版およびその他の言語)は、以下のサイトで入手できます。

  • http://www.microsoft.com/msdownload/iebuild/scriptlet/en/scriptlet.htm
  • Outlook Expressを使用するシステムにおけるウイルスの詳細情報

    ・(電子メールメッセージをプレビューウィンドウで表示する、または開いて)ウイルスが初めて起動すると、以下のファイル(4,116バイト)を作成します。

    (英語版Windows)

  • C:\WINDOWS\Start Menu\Programs\Startup\kak.hta

  • (フランス語版Windows)
  • C:\WINDOWS\Menu D?marrer\Programmes\D?marrage\kak.hta
  • ・上記のファイルは、再起動時に自動実行します。再起動によりKAK.HTAファイルが実行されると、ウイルスは隠しファイル“C:\WINDOWS\kak.htm”(3,939バイト)を作成します。この隠しファイルには完全なウイルスのコードが含まれており、送信される電子メールメッセージに組み入れられます。以下のレジストリを改変して、このファイルをOutlook Expressのデフォルトの署名に設定します。

  • HKEY_CURRENT_USER\Identities\{...}\Software\Microsoft\Outlook Express\5.0\signatures\
    Default Signatures "00000000"
  • HKEY_USERS\DEFAULT\Identities\{...}\Software\Microsoft\Outlook Express\5.0\signatures\
    Default Signatures "00000000"
  • ・レジストリキーの値は、以下のとおりです。

    (Name)  (Data)
    file "C:\WINDOWS\kak.htm"
    name "Signature #1"
    text
    type 0x00000002 (2)

    ・Outlook Expressの「ツール/オプション」メニューから「署名」を選択すると、簡単に署名の改変を確認できます。“署名 #1”には、ほとんどの送信メッセージのデフォルトの署名としてC:\WINDOWS\kak.htmファイルが設定されています。

    ・C:\WINDOWS\SYSTEMディレクトリに、ID number.hta(例:7EDAEA80.hta)というファイル名でKAK.HTAファイル(4,116バイト)が再びコピーされます。“ID number”は、以下のレジストリエントリのキーで設定されたデフォルトのユーザIDの先頭の8桁です。

  • HKEY_CURRENT_USER\Identities
  • ・このキーの詳細は、以下のとおりです。

    (Name) (Data)
    Default User ID "(7EDAEA80-CEEC-912A-A15DFDA59179)"
    Last User ID "(7EDAEA80-CEEC-912A-A15DFDA59179)"
    Last Username "Main Identity"

    ・以下のようにレジストリエントリを改変して、ID number.htaファイルを自動実行します。

  • HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run\
    cAgOu C:\WINDOWS\SYSTEM\IDNxxxxx.hta
  • ・標準的な“Run”キーは、以下のとおりです。

    (Name) (Data)
    cAgOu "C:\WINDOWS\SYSTEM\7EDAEA80.hta"
    IrMon "IrMon.exe"
    LoadPowerProfile "RunDLL32.exe powprof.dll,LoadCurrentPwrScheme"
    ScanRegistry "C:\WINDOWS\Scanregw.exe /autorun"
    System tray "SysTray.exe"
    TaskMonitor "C:\WINDOWS\taskmon.exe"

    注:“cag0u”の“0”は、数字の“0”です。   “IDNxxxxx”は、上記で説明したユーザIDです。

    ・上記のレジストリが改変されると、ウイルスは部分的に消去されても再起動します。

    ・また、このウイルスはAUTOEXEC.BATファイルに以下の行を追加し、改変します。

    (英語版Windows)

  • @echo off>c:\windows\STARTM~1\Programs\Startup\kak.hta
    del c:\windows\STARTM~1\Programs\Startup\kak.hta

  • (フランス語版Windows)
  • @echo off>C:\Windows\MENUD(~1\PROGRA~1\D(MARR~1\kak.hta
    del C:\Windows\MENUD(~1\PROGRA~1\D(MARR~1\kak.hta
  • ・上記のファイルが改変されると、最初の感染の痕跡がすべて消去されます。オリジナルのAUTOEXEC.BATファイルのバックアップをC:\AE.KAKに作成してから、この改変は行われます。

    追加情報

    ・毎月1日の午後6時には、次の“Driver Memory Error”ウインドウダイアログボックスを表示します。

    ・“OK”ボタンをクリックすると、マシンがシャットダウンします。

    駆除方法

    ・何か月も前から、ほとんどのウイルス対策製品にはこのウイルスの検出、駆除機能が追加されています。

    ・このウイルスに対応するには、4.0.50以降のエンジンが必要です。(最新の定義ファイルを使用しても)古いエンジンでは検出、削除できないウイルスがあるので、4.0.70以前のエンジンを使用している方は、是非アップグレードされることをお薦めします。定義ファイルと同様に、エンジンもアップデートしてスキャナの通常の変更および更新を反映させる必要があります。

    ・また設定パラメータを確認して、HTタイプの拡張子(“HTM”ではなく“HT?”)をデフォルトでスキャンするように設定してください。

    ・このウイルスを手動で駆除する手順は、以下のとおりです。

    1. マシンを“step-by-step”モードで起動する。

    2. 起動ファイルを実行する前に、起動ファイルの各コマンド行を確認してください。Windows98システムでは、以下の手順で行ってください。

    3. ・Windowsの読み込みが終了するまで、“Y(Yes)”を入力してください。上記の2つの“…kak.hta”行が表示されなくても、この指示に従ってください。ウイルスはシステムのインストール段階にだけ存在しているかもしれませんが、システムがウイルスに感染している可能性があります。

    4. Window上で、Windows Explorerを起動してください。以下のファイルが存在する場合は、削除してください。


    5. 注:“IDNxxxxx”は、上記で説明したとおり一連の文字です。この値を慎重に書き留めてください。

    6. AUTOEXEC.BATファイルを編集します。

    7. ・以下の行を選択し、削除します。

      (英語版Windows)

      ・変更を保存して、プログラムを終了します。

    8. レジストリエディタを起動します。



    9. レジストリエディタでレジストリツリー“HKEY_CURRENT_USER\Identities\”にアクセスします。


    10. マシンの電源を切ってから、もう一度電源を入れてください。ウイルスが駆除されています。

    レジストリについてのコメント

    ・レジストリは、PCの主要部分です。わずかな変更でも大変な問題が発生したり、ディスクからのデータが失われて取り返しがつかなくなることもあります。エキスパートユーザ以外は、バックアップを行ってからレジストリを改変してください。

    ・C:\WINDOWS\System.datファイルおよびC:\WINDOWS\User.datファイルを新しく作成したフォルダにコピーしてバックアップを作成します。

    追加の保護方法

    ・ウイルス対策プログラムは、感染した電子メールを受け取ってもすぐに警告しないことがあります。kak.htaファイルが作成されてから警告したり、スキャナが拡張子“HT?”をスキャンするように正しく設定されていないこともあります。

    ・より効果的なウイルス対策保護にはゲートウェイ対策が必要ですが、エンドユーザには現実的な選択肢ではありません。エンドユーザには、以下のマイクロソフト社のパッチの適用をお薦めします。

  • http://www.microsoft.com/msdownload/iebuild/scriptlet/en/scriptlet.htm
  • ・Internet Explorerのセキュリティレベルを“高”に設定しても、必ずしも安全とはいえません。(エキスパートユーザは)セキュリティレベルを“中”にしてカスタム設定してください。

    ・カスタム設定は、「ツール/オプション/インターネットオプション/セキュリティ/レベルのカスタマイズ」で以下のように行います。

    (英語版Windows)

    ActiveX controls and plugins

  • Download signed ActiveX controls→“Prompt”を選択する
  • Download unsigned ActiveX controls→“Prompt”を選択する
  • Initialize and script ActiveX controls not marked as safe→“Disable”を選択する
  • Run ActiveX controls and plugins→“Prompt”を選択する
  • Script ActiveX controls marked safe for scripting→“Prompt”を選択する
  • scripting
  • Active scripting→“Prompt”を選択する


  • (フランス語版Windows)

    Controls ActiveX and plugins
  • Known safe Controls ActiveX for writing→“Prompt”を選択する
  • Initialization and unmarked ActiveX Controls→“Disable”を選択する
  • Execute ActiveX controls and plugins→“Prompt”を選択する
  • Download unsigned ActiveX→“Prompt”を選択する
  • Download signed ActiveX→“Prompt”を選択する
  • script
  • Active scripting→“Prompt”を選択する
  • ・上記のパラメータを設定した後もウイルスがシステムに存在していれば、Outlook/Outloook Expressで電子メールを読むと、またはプレビューで表示するとさまざまなダイアログボックスが表示されます。“NO”を選択してください。さらに、このプロンプトを表示したメッセージを転送、返信、またはリダイレクトする場合は十分に注意してください。プレーンテキスト形式を使用しないと、(ローカルマシンには感染しませんが)ウイルスを他のユーザに送信してしまいます。

    ・上記のパラメータを設定すると、以下の2つのメッセージを連続して表示します。

    1番目のメッセージ:(“NO”を選択してください。)
    Internet Explorer
    Do you want to allow software such as ActiveX controls and plug-ins to run?

    2番目のメッセージ: Microsoft Internet Explorer
    An ActiveX control is not safe
    Your current security settings prohibit running unsafe controls on this page.
    As a result, this page may not be displayed as intended.

    ・マイクロソフト社のパッチをインストールすると、(1番目のメッセージは表示されずに)2番目のメッセージが表示されます。したがって、1番目のメッセージに“Yes”と答えることはありません。

    ・HTML形式のメッセージの送受信は、非常に危険です。OutlookおよびOutlook Expressでは自動的にテキスト形式に変換する設定はできませんが、ユーザの選択した形式でメールを送信することはできます。

    ・Outlookでは、サブメニュー「ツール/オプション」の「メール形式」を選択します。“Microsoft Outlookリッチテキスト形式”または“プレーンテキスト形式”を選択して、HTML形式を使用しないでください。

    ・Outlookのプレビューオプションは、「表示」メニューの「現在のビュー」および「プレビューウインドウ」で確認できます。

    ・Outlook Expressでは、サブメニュー「ツール/オプション」の「送信」を選択します。“プレーンテキスト形式”を選択して、HTML形式を使用しないでください。

    ・Oulook Expressでは、「表示/現在のビュー」でプレビューウインドウの表示、または無効を選択します。