WikiDer > Как червь

Kak worm

КАК (Kagou Anti Kro $ oft) 1999 года выпуска. JavaScript червь который использует ошибку в Outlook Express распространяться.[1]

Поведение

В первый день каждого месяца, в 18:00 червь использует SHUTDOWN.EXE, чтобы инициировать завершение работы и показать всплывающее окно с текстом "Kagou-anti-Kro $ oft говорит, что не сегодня!". При запуске часто появляется свернутое окно с заголовком" Ошибка памяти драйвера ". Иногда появляется другое сообщение" Ошибка выделения памяти драйвера S3! ". Червь также добавляет раздел реестра HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run cAg0u и редактирует AUTOEXEC.BAT чтобы Windows запускала его при запуске.

Червь добавляет в AUTOEXEC.BAT следующие команды:

@ECHO off C:  Windows  Start Menu  Programs  StartUp  kak.hta DEL C:  Windows  Start Menu  Programs  StartUp  kak.hta

Подход

KAK работает, используя уязвимость в Microsoft Internet Explorer, который Outlook Express использует для отображения электронной почты в формате HTML. Уязвимость касается ActiveX элемент управления "Scriptlet.Typelib", который обычно используется для создания новых библиотек типов (файлов ".tlb"). Однако элемент управления не устанавливает никаких ограничений на то, какое содержимое входит в файл библиотеки типов или какое расширение файла должно иметь. Следовательно, элемент управления может быть использован для создания файла с любым содержимым и с любым расширением.

Поскольку Microsoft не предполагала возможности злоупотребления этим элементом управления таким образом, они отметили его как «безопасный для сценариев» в настройках безопасности Internet Explorer по умолчанию. Это означает, что скриптам, включающим этот элемент управления, не требуется разрешение пользователя для запуска. KAK встраивает такой оскорбительный код в подпись сообщения электронной почты, так что код запускается, когда электронное письмо просматривается или предварительно просматривается в Outlook Express (поскольку Outlook Express использует Internet Explorer для обеспечения этой функции просмотра / предварительного просмотра для сообщений электронной почты HTML).

KAK использует "Scriptlet.Typelib" для создания файла с именем "kak.hta" в папке StartUp. Этот файл содержит дополнительный код, который будет запущен при следующем запуске машины. Поскольку HTA не отображается в Internet Explorer, а выполняется с использованием Хост сценариев Windows, код, помещенный KAK в этот файл, имеет даже больше привилегий, чем код, который он помещает в подпись электронной почты.

При следующем запуске машины и запуске "kak.hta" KAK выполняет ряд действий, например:

  • Настройка подписи электронной почты пользователя, содержащей код для заражения других систем, чтобы червь мог распространяться
  • Добавление строк в AUTOEXEC.BAT для удаления исходного "kak.hta", чтобы вирус было труднее отслеживать
  • Создание нового «kak.hta», который запускается при запуске и выключает машину с 18:00 до полуночи первого числа месяца.

Рекомендации

  1. ^ "Как червь - Интернет-вирус от Маюра Камата". Получено 2019-11-01.

внешняя ссылка