247735

Kak-Wurm verbreitet sich

16.06.2000 | 10:06 Uhr |

Der VBS-Wurm Kak vermehrt sich zur Zeit stark und ist in den USA und Europa der zur Zeit am öftesten registrierte Wurm. Er verbreitet sich über Outlook 5.0. und wird bereits aktiviert, wenn eine befallene Mail im Preview-Fenster von Outlook betrachtet wird.

Der VBS-Wurm Kak vermehrt sich zur Zeit stark und ist in den USA und Europa der zur Zeit am öftesten registrierte Wurm. Er verbreitet sich über Outlook 5.0 und befällt nach Angaben von F-Secure und McAfee die englischen und französischen Versionen von Windows 9x. Er wird bereits aktiviert, wenn eine befallene Mail im Preview-Fenster von Outlook betrachtet wird.

Der VBS/Kak.Worm belegt laut Trend World Platz 1 der am weitesten verbreiteten Würmer (siehe Glossar) in den USA und Platz 2 in Europa. Er nutzt eine bekannte Sicherheitslücke in Microsoft Outlook 5.0: Wird eine befallene Mail geöffnet oder im Preview-Fenster betrachtet, nutzt der Kak-Wurm ActiveX und Windows Scripting Host, um sich im System festzusetzen.

Beim Öffnen einer befallenen Mail kreiert VBS/Kak.Worm die Dateien

C:\windows\kak.htm

Und

C:\windows\system\(name).hta

(name) steht hier für einen acht Zeichen langen Namen. Ebenso wird die AUTOEXEC.BAT verändert, so dass sie mit dem Zusatz

HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run

cAg0u = "C:\WINDOWS\SYSTEM\(name).hta"

beim nächsten Systemstart die neu gestaltete HTA-Datei (HTML für Anwendungen) ausführt. Durch sie wird die Microsoft Outlook Registrierungsdatei so verändert, dass für alle ausgehenden Mails die Datei C:\windows\kak.htm verwendet wird. Dadurch verbreitet sich der Virus mit jeder geschriebenen Mail, ungeachtet deren Inhalt oder Betreff.

Eine weitere Auswirkungen von VBS/Kak.Worm ist datumsbezogen und tritt jeden 1. Tag eines Monats auf. Beginnend um 18 Uhr erscheint die Meldung

"Kagou-Anti-Kro$oft says not today!"

Danach wird der Rechner heruntergefahren.

Als Gegenmaßnahmen wird empfohlen, Active Scripting in Outlook zu deaktivieren. Der Virus kann dann den Rechner nicht befallen. Sollte der Rechner bereits befallen sein, kann er mit folgenden Schritten beseitigt werden:

1. Schließen aller Mail Programme

2. Installieren des Patches von Microsoft

3. Entfernen von KAK.HTA und KAK.HTM

4. Deaktivieren des Previews-Fensters in Outlook

5. Löschen der Mail-Signatur

6. Löschen befallener Mail-Nachrichten (PC-WELT, 15.06.2000, meh)

Online-Virustracker von Trend World

Microsoft Security Patch (PC-WELT Online, 08.03.2000)

Schutz vor Loveletter und Co. (PC-WELT Online, 15.6.2000)

Virusinfo über Kak-Worm

Würmer unterwegs (PC-WELT Online, 3.4.2000)

0 Kommentare zu diesem Artikel
247735