WikiDer > Как червь
Эта статья включает в себя список общих Рекомендации, но он остается в основном непроверенным, потому что ему не хватает соответствующих встроенные цитаты. (Март 2010 г.) (Узнайте, как и когда удалить этот шаблон сообщения) |
КАК (Kagou Anti Kro $ oft) 1999 года выпуска. JavaScript червь который использует ошибку в Outlook Express распространяться.[1]
Поведение
В первый день каждого месяца, в 18:00 червь использует SHUTDOWN.EXE, чтобы инициировать завершение работы и показать всплывающее окно с текстом "Kagou-anti-Kro $ oft говорит, что не сегодня!". При запуске часто появляется свернутое окно с заголовком" Ошибка памяти драйвера ". Иногда появляется другое сообщение" Ошибка выделения памяти драйвера S3! ". Червь также добавляет раздел реестра HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows CurrentVersion Run cAg0u и редактирует AUTOEXEC.BAT чтобы Windows запускала его при запуске.
Червь добавляет в AUTOEXEC.BAT следующие команды:
@ECHO off C: Windows Start Menu Programs StartUp kak.hta DEL C: Windows Start Menu Programs StartUp kak.hta
Подход
KAK работает, используя уязвимость в Microsoft Internet Explorer, который Outlook Express использует для отображения электронной почты в формате HTML. Уязвимость касается ActiveX элемент управления "Scriptlet.Typelib", который обычно используется для создания новых библиотек типов (файлов ".tlb"). Однако элемент управления не устанавливает никаких ограничений на то, какое содержимое входит в файл библиотеки типов или какое расширение файла должно иметь. Следовательно, элемент управления может быть использован для создания файла с любым содержимым и с любым расширением.
Поскольку Microsoft не предполагала возможности злоупотребления этим элементом управления таким образом, они отметили его как «безопасный для сценариев» в настройках безопасности Internet Explorer по умолчанию. Это означает, что скриптам, включающим этот элемент управления, не требуется разрешение пользователя для запуска. KAK встраивает такой оскорбительный код в подпись сообщения электронной почты, так что код запускается, когда электронное письмо просматривается или предварительно просматривается в Outlook Express (поскольку Outlook Express использует Internet Explorer для обеспечения этой функции просмотра / предварительного просмотра для сообщений электронной почты HTML).
KAK использует "Scriptlet.Typelib" для создания файла с именем "kak.hta" в папке StartUp. Этот файл содержит дополнительный код, который будет запущен при следующем запуске машины. Поскольку HTA не отображается в Internet Explorer, а выполняется с использованием Хост сценариев Windows, код, помещенный KAK в этот файл, имеет даже больше привилегий, чем код, который он помещает в подпись электронной почты.
При следующем запуске машины и запуске "kak.hta" KAK выполняет ряд действий, например:
- Настройка подписи электронной почты пользователя, содержащей код для заражения других систем, чтобы червь мог распространяться
- Добавление строк в AUTOEXEC.BAT для удаления исходного "kak.hta", чтобы вирус было труднее отслеживать
- Создание нового «kak.hta», который запускается при запуске и выключает машину с 18:00 до полуночи первого числа месяца.
Рекомендации
- ^ "Как червь - Интернет-вирус от Маюра Камата". Получено 2019-11-01.
внешняя ссылка
- VBS.KAK запись kak и информация на pchell.com
- Wscript.KakWorm на Symantec.com
- JS / Kak @ M на McAfee
Этот вредоносное ПО-связанная статья является заглушка. Вы можете помочь Википедии расширяя это. |