Wscript.KakWorm
Detectado como: Wscript.KakWorm
Apelidos: VBS.Kak.Worm, Kagou-Anti-Krosoft
Tamanho da Infecção: 4116 bytes
Probabilidade: Raro
Detectado em: 27 de dezembro de 1999
Região onde foi identificado: Europa
Características: Dia 1 de qualquer mês às 17:00 hs
Descrição
VBS.KakWorm é um worm, que se espalha usando o Microsoft Outlook
Express. O worm se anexa a todas as mensagens enviadas pelo
recurso
Assinatura do Outlook Express. As assinaturas permitem que você
anexe
automaticamente informações ao final de todas as mensagens
enviadas.
O worm utiliza uma brecha conhecida na segurança do Microsoft
Outlook
Express para criar um arquivo de vírus no sistema sem que seja
necessário
executar um anexo. Simplesmente ler a mensagem de e-mail recebida
já instala o
vírus no sistema.
A Microsoft já corrigiu está falha na segurança. Se você
tiver uma versão
corrigida do Outlook Express, este worm não o afetará.
Descrição Técnica
O worm anexa a si próprio no final das mensagens enviadas legítimas
como uma
assinatura. Ao receber a mensagem, o worm inserirá
automaticamente uma
cópia dele mesmo no diretório Iniciar do sistema operacional
Windows nas
versões em inglês e francês. O arquivo criado é chamado KAK.HTA.
Os arquivos HTA são executados por versões atuais do Microsoft
Internet
Explorer ou do Netscape Navigator.
O sistema deve ser reinicializado para este arquivo ser executado.
Depois de
executado, o worm modifica a chave do registro:
HKCU/Identities/<Identity>/Software/Microsoft/Outlook/Express/5.0/signatures
para adicionar seu próprio arquivo de assinatura, que é o
arquivo KAK.HTA.
Isto faz com que toda a correspondência enviada seja anexada
pelo worm.
Além disso, a chave de registro:
HKLM/Software/Microsoft/Windows/CurrentVersion/Run/cAgOu
é adicionada, fazendo o worm ser executado sempre que o
computador é
reiniciado.
Finalmente, se for o primeiro dia do mês e o horário for 17 (5:00
pm), a seguinte
mensagem é exibida:
Kagou-Anti-Kro$oft says not today!
e o Windows recebe a mensagem para desligar.
Não há nenhum outro código mal intencionado.