Le "KAK"

 

Worm

Depuis quelques temps, un programme parasite, (worm en anglais) se propage au sein des réseaux de messagerie. Il ne contamine, en fait, que les micro-ordinateurs équipés de Microsoft Outlook Express version 5.0.

Ne sont donc pas concernés, les systèmes équipés de la version 4 de ce même logiciel, les utilisateurs de Netscape et les possesseurs de Macintosh.

Il est connu sous plusieurs dénominations : Kak - Kagou-Anti-Kro$oft - VBS.KAK - VBS.Kak.Worm - Wscript.Kak - Wscript.KakWorm.

La version actuelle ne semble pas dangereuse, puisqu'elle afficherait tous les 1er du mois à 17 heures un message «anti-Microsoft», puis entraînerait l’arrêt de la machine. Mais attention, les versions de demain pourraient très bien le devenir.

Il a été signalé dès le mois d’octobre 1999. Il utilise pour se propager et donc se reproduire, une faille dans la gestion des «ActiveX», gestion installée avec la version 5 de Microsoft Internet Explorer.

 

Description

L'infection est caractérisée par la présence de trois éléments :

  • un fichier avec une extension hta
  • une entrée dans la Base de registres
  • une modification du fichier c:\autoexec.bat

Le virus modifie le fichier c:\autoexec.bat en ajoutant une ligne de commande supplémentaire pour exécuter le fichier kak.hta à chaque démarrage de votre ordinateur puis… efface cette commande.

En résumé, la lecture d’un message électronique ou l’affichage d’une page Web suffit pour enregistrer un script dans le menu Démarrer : kak.hta (" HTml for Applications "). Ce script sera exécuté lors du prochain lancement de Windows.

Voici la liste des fichiers enregistrés sur une machine contaminée :

  • c:\Windows\kak.htm,
  • c:\Windows\system\[nom aléatoire].hta,
  • c:\Windows\Menu Démarrer\Programmes\Démarrage\kak.hta

Le fichier d’extension hta, enregistré dans le répertoire system comporte un nom aléatoire sur 8 caractères. Pour le découvrir, il faut demander l’affichage des fichiers invisibles.

Sélectionnez votre unité de disque dur avec votre explorateur.
- Choisissez dans votre menu Affichage l'option Option des dossiers puis l'onglet Affichage.
- Cochez dans les Paramètres avancés, les Fichiers cachés puis Afficher tous les fichiers, afin de voir tous les fichiers, y compris ceux qui sont invisibles...

 

Conseils

Il faut dans un premier temps détruire systématiquement tous les messages pouvant le contenir, y compris les siens propres stockés, par exemple, dans votre dossier Éléments envoyés.
La lecture d'un seul message contaminé polluera de nouveau votre machine.

Pour éviter de contaminer vos correspondants, il est indispensable d'émettre vos messages en texte brut et de ne pas les signer, jusqu'à ce que la situation se soit normalisée.

Le traitement radical le plus efficace, mais également le plus lourd à mettre en œuvre, consiste à télécharger la dernière mise à jour de Microsoft Outlook Express (version 5.00.2919 minimum)
Cette mise à jour est disponible à l’adresse :

Pour autant, vous serez définitivement immunisé et votre navigateur vous signalera systématiquement la présence d'un message contaminé en faisant apparaître l'information suivante :

ActiveX

Il vous suffira alors de détruire tout simplement le message contaminé et de prévenir son émetteur.

 

Actions

a) Cliquez sur le bouton [Démarrer] - Rechercher - Fichiers ou Dossiers, en précisant dans la zone Nommé : .hta

Vous devriez trouver un fichier, invisible en temps normal, de nom aléatoire, mais avec cette extension sous C:\Windows\System. C’est lui qui remet le système en action à chaque redémarrage même si vous avez détruit le fichier kak.htm

Il est à détruire sans remords ni regrets !

b) Même opération avec la chaîne : kak

Vous devriez trouver des fichiers comportant cette chaîne sur votre disque dur,
C:\Windows\Menu Démarrer\Programmes\Démarrage

Ils sont à détruire également sans remords ni regrets !

c) Éditez au besoin le fichier c:\autoexec.bat afin d’en retirer la commande parasite.

d) Exécutez Outlook Express et choisissez dans le Menu : Outils - Options - Signature

Vous découvrirez sa ruse... kak a mis, a sélectionné à votre insu, la signature C:\Windows\kak.htm.

Il faut, bien évidemment, tout décocher.

e) Avec beaucoup de précaution, vous pouvez modifier la Base de Registres avec l’utilitaire Regedit ([Démarrer] - Exécuter - saisir : regedit) et supprimer la valeur enregistrée en :

HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run cAg0u = "C:\Windows\System\[nom].hta"

Pour supprimer l'enregistrement, double-cliquez dessus et annulez la ou les valeur(s) affichée(s) dans la fenêtre.

! Attention !
Prenez soin de sauvegarder une version de ce fichier
avant toute modification !

Votre machine sera propre jusqu’à la prochaine contamination... et vous devrez certainement recommencer cette opération jusqu'à ce qu'il soit totalement éradiqué.

Les anti-virus classiques (Mc Afee, Norton…), contrairement à ce qu’ils affirment, n'éradiquent toujours pas cette infection…

 

En savoir plus

Le Journal Informatique : http://www.journalinformatique.com/99dec/991231virus.shtml
Le Journal Informatique : http://www.journalinformatique.com/99aout/990825bugno2987.shtml

Pour les anglophones, voici quelques adresses supplémentaires :

MICROSOFT : http://www.microsoft.com/security/bulletins/ms99-032.asp
NETWORK ASSOCIATE : http://vil.nai.com/vil/wsh10509.asp
SYMANTEC : http://www.sarc.com/avcenter/venc/data/wscript.kakworm.html