Vendredi
31 décembre 1999 |
KaK:
l'encombrant virus venu de Nouvelle Calédonie
On
vous l'a répété jusqu'à le rebâcher:
attention aux virus, aux fichiers attachés etc. Et
plus particulièrement en cette période d'an
2000. Pourtant, le virus à la mode qui attaque les
machines françaises en ce moment n'est lié ni
au bug de l'an 2000 ni aux pièces attachées.
Il exploite au contraire un bug de l'ActiveX installé
avec Internet Explorer 5 contre lequel nous avions déjà
mis en garde nos lecteurs le 25 août 1999 (voir notre
article). KaK, Kagou, Wscript.KakWorm, VBS.Kak.Worm, tous
ces noms désignent le même petit virus, un script
pour être plus précis.
Celui-ci, après une simple visualisation d'une page
web ou d'un email sans l'ouverture d'un fichier attaché
se sert du bug d'ActiveX pour enregistrer un autre script
dans le menu démarrer (kak.hta). Ce dernier sera executé
au prochain redémarrage. Ses premières actions
sont de se dupliquer (dans
le dossier windows / système) et de modifier la base
de registre pour être executé à chaque
démarrage. Ensuite, il place un fichier kak.htm en
fichier caché dans le répertoire Windows avant
de remodifier la base de registre de Windows pour qu'Outlook
5 utilise ce fichier comme signature par défaut. A
partir de cet instant, tout message envoyé au format
HTML par Outlook contiendra le virus qui pourra se disséminer
facilement. Pour terminer, le fichier kak.hta modifie le fichier
de commandes autoexec.bat pour être supprimé
lors du 3ème redémarrage. Ni vu ni connu.
Les actions de Kak ne sont pas néfastes a priori, il
empêche "simplement" le démarrage d'applications
le 1er du mois après 17 heures, en affichant un message
anti Microsoft. Pourtant, des mutations plus méchantes
sont à craindre. Il serait facilement possible à
une personne même très peu douée de modifier
Kak pour effacer tous les fichiers du répertoire Windows
par exemple.
Nous vous conseillons fortement de mettre à jour votre
version d'Outlook 5 via le Windows
Update, Microsoft ayant corrigé ce problème
depuis quelques semaines. Toutefois peu de personnes ont eu
le temps d'effectuer la mise à jour. Pour se passer
d'un téléchargmeent, une mesure temporaire consiste
à désactiver l'execution des scripts Active
X jugés sûrs dans outils / options internet /
sécurité / personnaliser le niveau d'IE 5. Peu
d'anti virus détectaient en effet ce virus. Symantec
ou Date Fellows n'ont intégré les défintions
de Kak que ce matin, suite à nos contacts. Symantec
(Norton) précise que depuis jeudi après midi,
6 personnes (dont 5 Français et 1 Calédonien)
ont soumis Kak au centre de détection. Par contre,
Cerus (éditeur d'Ultimatum 2000) nous a affirmé
avoir contré le virus avec AVP et Network Associates
élimine Kak depuis... octobre. François Paget,
expert ès virus chez NAI précise: "C'est
un virus créé en Nouvelle Calédonie,
le Kagou étant l'oiseau fétiche de l'île.
Je l'ai reçu en octobre et nous l'avons intégré
à nos bases et depuis, plus de nouvelles. J'ai reçu
un message de sos le 23 décembre et j'ai vu des demandes
dans les newsgroups, ça préfigure peut être
une dissémination importante."
Interrogé sur les risques de mutations que nous évoquions
plus haut, François Paget reste serein: "ils sont
possibles mais les anti-virus détecteront sûrement
ce type de mutation astucieuse. La plupart des éditeurs
utilisent des routines de détection des chaînes
vitales au script: l'utilisation de l'ActiveX par exemple
dans ce cas. Nous les doublons avec des calculs de CRC."
En attendant, les personnes infectées ont tout intérêt
à utiliser un anti-virus pour se débarasser
de l'encombrant ver. La suppression de kak.htm protège
seulement jusqu'au redémarrage suivant où le
fichier .hta caché dans le répertoire windows
/ système le remet en action. [Alain
Steinmann, JI]
Responsable de rubrique : Alain Steinmann
|
|