KaK: l'encombrant virus venu de Nouvelle Calédonie

On vous l'a répété jusqu'à le rebâcher: attention aux virus, aux fichiers attachés etc. Et plus particulièrement en cette période d'an 2000. Pourtant, le virus à la mode qui attaque les machines françaises en ce moment n'est lié ni au bug de l'an 2000 ni aux pièces attachées. Il exploite au contraire un bug de l'ActiveX installé avec Internet Explorer 5 contre lequel nous avions déjà mis en garde nos lecteurs le 25 août 1999 (voir notre article). KaK, Kagou, Wscript.KakWorm, VBS.Kak.Worm, tous ces noms désignent le même petit virus, un script pour être plus précis.
Celui-ci, après une simple visualisation d'une page web ou d'un email sans l'ouverture d'un fichier attaché se sert du bug d'ActiveX pour enregistrer un autre script dans le menu démarrer (kak.hta). Ce dernier sera executé au prochain redémarrage. Ses premières actions sont de se dupliquer (dans le dossier windows / système) et de modifier la base de registre pour être executé à chaque démarrage. Ensuite, il place un fichier kak.htm en fichier caché dans le répertoire Windows avant de remodifier la base de registre de Windows pour qu'Outlook 5 utilise ce fichier comme signature par défaut. A partir de cet instant, tout message envoyé au format HTML par Outlook contiendra le virus qui pourra se disséminer facilement. Pour terminer, le fichier kak.hta modifie le fichier de commandes autoexec.bat pour être supprimé lors du 3ème redémarrage. Ni vu ni connu.
Les actions de Kak ne sont pas néfastes a priori, il empêche "simplement" le démarrage d'applications le 1er du mois après 17 heures, en affichant un message anti Microsoft. Pourtant, des mutations plus méchantes sont à craindre. Il serait facilement possible à une personne même très peu douée de modifier Kak pour effacer tous les fichiers du répertoire Windows par exemple.
Nous vous conseillons fortement de mettre à jour votre version d'Outlook 5 via le Windows Update, Microsoft ayant corrigé ce problème depuis quelques semaines. Toutefois peu de personnes ont eu le temps d'effectuer la mise à jour. Pour se passer d'un téléchargmeent, une mesure temporaire consiste à désactiver l'execution des scripts Active X jugés sûrs dans outils / options internet / sécurité / personnaliser le niveau d'IE 5. Peu d'anti virus détectaient en effet ce virus. Symantec ou Date Fellows n'ont intégré les défintions de Kak que ce matin, suite à nos contacts. Symantec (Norton) précise que depuis jeudi après midi, 6 personnes (dont 5 Français et 1 Calédonien) ont soumis Kak au centre de détection. Par contre, Cerus (éditeur d'Ultimatum 2000) nous a affirmé avoir contré le virus avec AVP et Network Associates élimine Kak depuis... octobre. François Paget, expert ès virus chez NAI précise: "C'est un virus créé en Nouvelle Calédonie, le Kagou étant l'oiseau fétiche de l'île. Je l'ai reçu en octobre et nous l'avons intégré à nos bases et depuis, plus de nouvelles. J'ai reçu un message de sos le 23 décembre et j'ai vu des demandes dans les newsgroups, ça préfigure peut être une dissémination importante."
Interrogé sur les risques de mutations que nous évoquions plus haut, François Paget reste serein: "ils sont possibles mais les anti-virus détecteront sûrement ce type de mutation astucieuse. La plupart des éditeurs utilisent des routines de détection des chaînes vitales au script: l'utilisation de l'ActiveX par exemple dans ce cas. Nous les doublons avec des calculs de CRC." En attendant, les personnes infectées ont tout intérêt à utiliser un anti-virus pour se débarasser de l'encombrant ver. La suppression de kak.htm protège seulement jusqu'au redémarrage suivant où le fichier .hta caché dans le répertoire windows / système le remet en action. [Alain Steinmann, JI]