Également disponible en Anglais Anglais


Présentation du virus KAK

par David Defoort

 

 

 

Quelles sont les configurations attaquées par le virus ? Comment se transmet-il ?

Ce virus attaque les ordinateurs fonctionnant sous Microsoft Windows 95/98 avec Internet Explorer 5.0. Il écrit plusieurs fichiers sur le disque dur et s'installe comme signature par défaut dans Microsoft Outlook Express ce qui lui permet de passer d'ordinateur en ordinateur très facilement. Pour attraper le virus, il suffit simplement d'ouvrir un message infecté.
Meme si vous n'utilisez pas Microsoft Outlook Express 5.0, vous pouvez tout à fait transmettre le virus car il est inclus et caché dans le HTML des messages écrits dans ce format : il suffit de transférer (au sens mail) à quelqu'un un message infecté pour le contaminer.

 

 

Mon ordinateur est-il infecté ?

Votre ordinateur est vraissemblablement infecté si vous êtes dans l'un des cas suivants:
- sur mon disque dur se trouve le fichier suivant : C:\AE.KAK (ce fichier est cependant tout à fait innofensif)
- sur mon disque dur se trouve un fichier du type C:\WINDOWS\SYSTEM\*.HTA ou * represente un nom de fichier ressemblant à 74F03760 (mais vraissemblablement différent car il change avec chaque machine)
- sur mon disque dur se trouve le fichier C:\WINDOWS\KAK.HTM
- dans le menu démarrer se trouve un fichier KAK.HTA (dans Menu Démarrer/Programmes/Démarrage)
- dans Microsoft Outlook Express, j ai une signature inconnue qui référencie un fichier nommée KAK.HTM
- au démarrage de mon ordinateur je vois passer une fenètre ayant comme titre "Driver Memory Error"
- je trouve des fichiers nommés *.KAK ou KAK.* sur mon disque dur et ces fichiers me sont inconnus
- le premier de chaque mois, mon ordinateur reboot a 17 heures avec un message bizarre....

 

 

Que fait le virus ?

Le virus n'est pas très dangereux et son seul effet néfaste est d'arrêter Microsoft Windows le premier de chaque mois à 17 heures.... La fenêtre suivante apparait alors:

Copie d'écran

 

 

Désinfection manuelle

La première chose à faire est de fermer vos mails et de ne pas les lire ni en envoyer tant que votre ordinateur n'est pas PROTEGE ET DESINFECTE (ce sont deux choses différentes). Il parait aussi raisonnable de contacter (par un autre moyen que le mail!!!) tous les correspondants que vous avez pu avoir depuis que vous pensez avoir eu le virus... donnez leur donc l'adresse de cette page Web : http://defoort.free.fr/virus/kak.html

Avant de désinfecter, passez à la section prévention pour ne pas avoir à tout recommencer dès que vous allez relire un mail infecté (surtout si vous utilisez Microsoft Outlook et que cela prévisualise les mails dans la fenètre du bas...)

ATTENTION : NE SUIVRE CES INSTRUCTIONS QUE SI VOUS ETES FAMILIES AVEC LA MANIPULATION DE FICHIERS, DE REGISTRY (SI VOUS NE SAVEZ PAS CE QUE C'EST C'EST QUE VOUS N'ETES PAS FAMILIES), D'EDITION DU FICHIER AUTOEXEC.BAT. UNE MAUVAISE MANIPULATION PEUT RENDRE VOTRE ORDINATEUR NON DEMARRABLE !!!!

IL FAUT EGALEMENT EFFECTUER TOUTES LES ACTIONS POUR ETRE SUR QUE LE VIRUS SOIT BIEN ENLEVE

1. Modification du fichier Autoexec.bat

En principe, le virus a ajouté les lignes suivantes à votre fichier c:\autoexec.bat :
@echo off > C:\Windows\STARTM~1\Programs\StartUp\kak.hta
del C:\Windows\STARTM~1\Programs\StartUp\kak.hta

ou l'équivalent pour Microsoft Windows 95/98 version francaise (C:\Windows\MENUDÉ~1)

Pour corriger ce fichier, soit vous éditer manuellement le fichier pour enlever ces deux lignes, soit vous renommer le fichier AE.KAK en autoexec.bat (le fichier AE.KAK est une copie de votre autoexec.bat avant infection, il ne contient donc pas toutes les modifications apportées à ce fichier depuis l'infection)

2. Destruction des fichiers suivants:

Vous pouvez (devez!!) detruire les fichiers suivants:
C:\WINDOWS\MENU DEMARRER\PROGRAMMES\DEMARRAGE\KAK.HTA
C:\WINDOWS\SYSTEM\xxxxxxxx.HTA ou xxxxxxxx varie de système en système et ressemble à quelque chose comme 74F03760
C:\WINDOWS\KAK.HTM
C:\WINDOWS\KAK.REG (rarement présent)

Tant que vous y êtes, vider la corbeille, cela ne fera pas de mal de perdre à tout jamais ces fichiers.....

3. Modification de la registry

Enlever la valeur suivante:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\Currentversion\Run\cAg0u

4. Modification de la signature dans Microsoft Outlook Express 5.0

Dans Microsoft Outlook Express (si ce logiciel est installé), aller dans le menu Outils/Options onglet signatures : enlever la signature par défaut qui correspond en principe a KAK et qui pointe vers le fichier KAK.HTM . Normalement la signature à détruire s'appelle "Signature #1".

5. Rebooter votre ordinateur, vous etes en principe desinfecté.

ATTENTION, LIRE UN MESSAGE INFECTE VA AUTOMATIQUEMENT REINFECTER VOTRE MACHINE ET VOUS POURREZ TOUT RECOMMENCER (SAUF SI VOUS ETES MAINTENANT PROTEGES CAR VOUS AVEZ SUIVIS LES CONSEILS DE LA SECTION PREVENTION)!!

 

 

Désinfection automatique

La première chose à faire est de fermer vos mails et de ne pas les lire ni en envoyer tant que votre ordinateur n'est pas PROTEGE ET DESINFECTE (ce sont deux choses différentes). Il parait aussi raisonnable de contacter (par un autre moyen que le mail!!!) tous les correspondants que vous avez pu avoir depuis que vous pensez avoir eu le virus... donnez leur donc l'adresse de cette page Web : http://defoort.free.fr/virus/kak.html

Avant de désinfecter, passez à la section prévention pour ne pas avoir à tout recommencer dès que vous allez relire un mail infecté (surtout si vous utilisez Microsoft Outlook et que cela prévisualise les mails dans la fenètre du bas...)

J'ai écrit un programme de désinfection automatique (sauf pour la partie Microsoft Outlook Express) que vous pouvez utilisez librement pour nettoyer votre machine.

Ce programme de désinfection (LE LOGICIEL) est fourni "TEL QUEL" sans garantie d'aucune sorte, notamment et sans restriction, la garantie que le LOGICIEL est exempt de défauts, commercialisable et approprié à un usage particulier. La totalité des risques liés à la qualité et aux performances du LOGICIEL sont à votre seule charge. Dans le sens le plus large autorisé par la loi, l'auteur du logiciel ne pourra être tenus pour responsables envers vous de toute perte ou dégât lié à l'installation, à l'utilisation ou l'impossiblité d'utiliser le LOGICIEL, en particulier et sans limite, toute perte ou détérioration de données, pertes de profit, tout dommage indirect, spécial, accidentel ou accessoire, même si les parties ont été alertées du risque de tels dommages.

En téléchargeant ou utilisant le logiciel, vous acceptez impliciment les termes ci-dessus.

Cela dit, le programme n'entreprend aucune action sans votre consentement préalable.

Téléchargez la version 1.1 ici: kakiller.exe 116ko (version Zip ici 55ko)

ATTENTION, LIRE UN MESSAGE INFECTE VA AUTOMATIQUEMENT REINFECTER VOTRE MACHINE ET VOUS POURREZ TOUT RECOMMENCER (SAUF SI VOUS ETES MAINTENANT PROTEGES CAR VOUS AVEZ SUIVIS LES CONSEILS DE LA SECTION PREVENTION)!!

 

 

Prévention contre ce type de virus

1. Modifier les réglages de Microsoft Outlook et Microsoft Outlook Express

Ces logiciels vous permettent de régler le niveau de securite que vous tolerez. Par défaut, ils sont réglés au niveau LE MOINS SUR et c'est une très mauvaise chose. Pour modifier ce niveau de sécurité il faut aller dans les options de Microsoft Outlook et Microsoft Outlook Express :

Il faut choisir "Outils/Options" onglet Sécurité choisir Zone : "Restricted sites zone" (désolé je ne connais pas la traduction dans la version francaise...)

Cette option empechera Microsoft Outlook de lire et executer automatiquement les virus tel que KAK.

A chaque fois qu'un composant ActiveX non sur sera inclus dans les mails, un message vous avertira.

2. Message en texte brut

Dans la mesure du possible, envoyez vos message en "texte brut" (vous pouvez choisir cette option pour chaque mail dans le menu Format ou modifier pour que ce soit le format par défaut dans les options de Microsoft Outlook)

3. Patch Microsoft

Microsoft a sorti un patch pour Microsoft Windows 95/98 :
Informations : http://www.microsoft.com/technet/security/bulletin/ms99-032.asp
Patch à downloader (~100ko) : http://www.microsoft.com/msdownload/iebuild/scriptlet/en/125795_INTL.htm

4. ON NE LE REPETERA JAMAIS ASSEZ : NE JAMAIS LANCER D'EXECUTABLE ATTACHE A UN MAIL
EST CE QUE AFFICHER UNE JOLIE GUIRLANDE SUR SON ECRAN VAUT UN TAS D'ENNUIS CAR IL Y AVAIT UN VIRUS DANS L EXECUTABLE ???????

Remarque : Kak n'est pas un virus de ce type mais il en existe bien d'autres....

 


[ Page officielle de eAuction Watcher | Page officielle de Mole Calc ]

Microsoft, Windows, Windows NT, et autres produits de Microsoft sont des marques déposées de Microsoft Corporation. Toutes les autres marques, marques déposées et produits appartiennent à leurs propriétaires respectifs.


Copyright 2000-2001 David Defoort (n'hésitez pas à me contacter pour des questions, corrections, suggestions ou autres !!)
Dernière mise à jour : 02/06/2001