Clique aqui para voltar à página inicial  http://www.novomilenio.inf.br/ano00/0008a004.htm
Última modificação em (mês/dia/ano/horário): 08/08/00 11:00:18
Nova variante do vírus Kak.Work 

Um dia depois de ser anunciada a descoberta do Kak.Worm.A, a Panda Software, empresa desenvolvedora dos antivírus Panda Platinum e Panda GVI, alertou no dia 1/8 os usuários para terem cuidado com uma nova variante do verme, batizada de Kak.Worm.B. Segundo Magali Cantisani, gerente de produto e marketing da Panda Software no Brasil, trata-se de um vírus de alta periculosidade e alta taxa de infecção. Mas, explica, "os usuários dos antivírus Panda não precisam se preocupar, pois a vacina já está disponível para download no site da empresa".

Esse worm (palavra que indica que o vírus ataca através da Internet) foi criado em JavaScript e utiliza uma falha na segurança do Outlook e do Outlook Express, brecha utilizada anteriormente pelo vírus VBS/Bubbleboy. A conseqüência é que o usuário se contamina apenas visualizando a mensagem contaminada, não atacando através de anexos de e-mail. O Kak segue junto com todas as mensagens enviadas pela máquina infectada através do recurso de assinatura automática dos Outlooks. Para corrigir essa falha no Outlook Express, a Microsoft já disponibilizou um path no seu site

O micro que receber essa mensagem vai executar um código HTML, invisível para o usuário, por ser comum hoje na redação de mensagens de correio. Para esse código ser executado, basta abrir a mensagem. Na seqüência, o worm cria um arquivo chamado [KAK.HTA] na pasta [Iniciar], assim como no [C:\WINDOWS\HELP]. Depois disso, muda o [AUTOEXEC.BAT] para [DAYS.DAY]. 

Se a data do micro estiver no dia 11, seja qual for o mês, e o relógio indicar um horário posterior a 17h, aparecerá a seguinte mensagem: "Days it was a day to be a days!". Em seguida, reinicia o computador, rodando continuamente o comando [Desligar] do Windows. 

As seguintes entradas do Registro são modificadas:
HKEY_CURRENT_USER\Identities\’+idn+’\Software\Microsoft\Outloook\Express
\5.0\Signatures - onde "idn" é a chave do Activex, e 
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run, entrada utilizada por muitos vírus, pois garante sua execução ao reiniciar o computador.