VBS KAK WORM VIRUS

Vous pensez être infecté par le virus WScript.KAKworm ?
Que fait-il ?
Comment s'en débarrasser ?

Vous pensez être infecté ?

    Voici une liste des symptomes de la contamination :

The Virus*

Nom: Kak
Alias: Wscript.KakWorm, KakWorm, VBS_KAKWORM

WScript.KakWorm est un worm (ver) qui s'attache tout seul à tous les email qui sont envoyés à partir du poste infecté. Ce virus est écrit en JavaScript et il fonctionne sur les versions Anglaises et Françaises de Windows 95/98 si Outlook Express 5 ou 4 est installé.

Le "worm" utilise une vulnérabilité connue de Outlook Express au niveau de la sécurité. Quand une personne reçoit un email infecté, le "worm" créé un fichier nommé "kak.hta" dans le dossier de démarrage de Windows.

Quand l'ordinateur est redémarré, le ver (worm) s'active. Il remplace le fichier "c:\autoexec.bat" avec un fichier batch qui efface le ver du Menu Démarrer. Le fichier original "autoexec.bat" est enregistré sous le nom "C:\AE.KAK".

Il modifie aussi les paramètres de signature de message de Outlook Express 5.0 en remplaçant la signature courrante par le fichier infecté, "C:\Windows\kak.htm".

Un fichier signature est un texte qui est ajouté à la fin de tous les email envoyés. (ex : nom, adresse, numéro de téléphone, adresse email, ect.)

C'est pourquoi tous les messages envoyés par Outlook Express, après çà, contiennent le ver (worm).

Ensuite il modifie le registre de Windows de sorte qu'il soit executé à chaque démarrage du système. Le premier jour de chaque mois, si l'heure est plus tardive que 17 H 00, le ver ouvrira une boîte de message d'alerte avec le texte suivant :

Alors, le ver déclenche l'arrêt de Windows.

*Informations tirées de http://www.virusencyclopedia.com/.

Comment s'en débarrasser ?

    Dans votre répertoire racine "C:\", si vous avez un fichier nommé AE.KAK, effacez le fichier Autoexec.bat et renommez le fichier AE.KAK en Autoexec.bat.

    Cliquez sur l'icône Poste de Travail puis dans l'onglet affichage choisissez Options des dossiers puis cliquez sur l'onglet affichage. Vous devriez voir apparaître une fenêtre indiquant les paramètres avancés des fichiers. Cochez la case "Afficher tous les fichiers" puis cliquez sur "appliquer". Vous pouvez maintenant fermer les fenêtres "Poste de Travail". Vous devez impérativement sélectionner l'option "Afficher tous les fichiers" pour être en mesure de supprimer ce virus efficacement !

    Cliquez sur Démarrer et choisir l'outil "Rechercher Fichiers ou Dossiers". Dans la fenêtre de recherche tapez "kak.*;*.hta", vérifiez que le chemin de recherche (boîte rechercher dans) est le Poste de Travail (par défaut c'est le répertoire racine C:/ qui constitue le chemin de recherche).  Ceci recherchera sur votre système tous les fichiers commençant par "kak" ou finissant par l'extension "hta". Voici une liste des fichiers susceptibles d'être trouvés :

Un autre fichier trouvé est un fichier de type alphanumérique (nom = suite de chiffres et de lettres) avec l'extension ".hta" dans votre répertoire c:\windows\system . A partir de la fenêtre de recherche (fichiers trouvés) vous pouvez supprimer ces fichiers directement [Pour plus de sécurité : sélectionnez les fichiers à supprimer puis pressez la touche Suppr. en maintenant la touche MAJ enfoncée (de cette façon les fichiers sont supprimés sans passer par la Corbeille)]. Fermez la fenêtre de recherche et vider la corbeille. Si vous ne le faîtes pas, vous risquez de voir réapparaître le virus !!!

    Vous voilà maintenant débarrasser de la partie la plus simple du virus. La dernière partie est TRES DANGEREUSE à supprimer. Pourquoi ? Vous devez maintenant éditer la base de registre de Windows. Brièvement, la base de registre est comme votre ADN, elle rend opérationnel Windows. Attention, toute modification de la base de registre est irréversible puisque celle-ci est sauvegardée en temps réel !!!

    Si vous vous sentez capable de modifier la base de registre sans faire d'erreur, vous pouvez continuer. Pour ceux qui ne sentent pas aptes à opérer en toute sécurité, ce n'est pas très grave, vous vous êtes déjà débarrassé de la partie la plus active du virus.

    Allons y !!! Après avoir fermer toutes les applications, cliquez sur Démarrer puis choisissez Exécuter. Remplissez la boîte de dialogue avec la commande REGEDIT puis validez par Entrée.  Quand la fenêtre sera ouverte, elle ressemblera à ceci :

Ouvrir le dossier HKEY_LOCAL_MACHINE en cliquant sur le signe + le précédant et non sur le dossier !!! Vous cliquerez toujours sur le signe + en suivant les instructions suivantes (sauf mention contraire).

Ensuite, ouvrez le dossier SOFTWARE, puis le dossier MICROSOFT'S, puis le dossier WINDOW'S, puis le dossier CURRENT VERSION'S et finalement cliquez sur le dossier appelé RUN (et non sur le signe + le précédant).  En regardant la fenêtre de droite vous devriez voir plusieurs items (clés). Une de ces clés est appelée "cAg0u", faîtes un clic-droit et choisissez supprimer afin d'enlever cette clé de la base de registre. Après çà, fermez l'Editeur de Registre Windows et redémarrer votre ordinateur (En choisissant "Redémarrer Windows" tout en maintenant la touche MAJ enfoncée vous ne redémarrerez que Windows... Cela doit vous faire gagner du temps au redémarrage).  Et voilà, c'est fini !!!

That's all folks !!!

En Englaise : http://www.cppanthers.org/kakvirus.htm

Traduction : Frédéric BOURHIS fredBifrance.com