KaK (virus)

KAK (Kagou Anti Krosoft) est un virus Javascript exploitant une faille ActiveX datant de 1999 utilisant un bug d'Outlook Express pour se propager par email.

Le simple fait de ne pas avoir mis à jour son navigateur Internet Explorer 5 ou Outlook Express permet à une page piégée de contaminer l'ordinateur. Le virus peut également être contenu dans un email au format HTML. Le virus installe un fichier kak.hta dans le répertoire Démarrage du Menu démarrer de Windows, se duplique dans le dossier système Windows, puis modifie la base de registre avec HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\cAg0u afin d'être exécuté à chaque démarrage en modifiant également AUTOEXEC.BAT par :

@ECHO off C:\Windows\Start Menu\Programs\StartUp\kak.hta
 DEL C:\Windows\Start Menu\Programs\StartUp\kak.hta

Un fichier caché kak.htm est ensuite placé dans le répertoire Windows, et modifie le registre Windows pour que Outlook 5 utilise ce fichier comme signature par défaut : ainsi, tout message envoyé au format HTML par Outlook contiendra le virus. Le fichier kak.hta est supprimé du Menu démarrer au 3e redémarrage, mais l'ordinateur reste contaminé [2].

Comportement

Tous les 1er du mois à 17 heures, le ver utilise SHUTDOWN.EXE afin de démarrer la procédure d'éteignage de l'ordinateur. Une fenêtre s'enclenche alors et indique Kagou-anti-Kro$oft says not today! (Kagou-anti-Microsoft dit que ce ne sera pas pour aujourd'hui !). Une petite fenêtre se lance assez régulièrement lors des démarrages de Windows et indique une "Driver Memory Error". Une autre fenêtre indiquant "S3 Driver Memory Alloc Failed!" peut également apparaitre.

Notes et références

  1. « Virus Kak », sur secuser.com (consulté le ).

Liens externes