Web – Gaffe senza precedenti quella di Shoppingplanet.com , nota fermata online della rete commerciale che si è trasformata per l’occasione in un untore internazionale. Pare infatti che abbia inviato a 50mila dei propri clienti e abbonati un’email promozionale con, in attachment, il virus KAK.
A poche ore dall’invio della email infetta, i clienti del negozio hanno ricevuto un’altra email che invitava alla cancellazione immediata di quella precedente e alla non apertura del file in attachment. Dopo qualche altra ora ,ShoppingPlanet.com si è rifatto vivo con i propri clienti scusandosi e invitando tutti gli utenti di Windows e Outlook a recarsi sul sito di Symantec per fronteggiare KAK (anche noto come KAKworm).
Va detto che KAK è un virus già noto da tempo. Fino a qualche tempo fa era guardato con sospetto ma senza troppo allarme per la sua relativamente ridotta diffusione. Il problema è che KAK può infettare una macchina anche soltanto con la preview dell’email o con l’apertura della lettera elettronica, se l’utente usa sistemi Windows con il programma di posta Outlook.
Al contrario, di altri virus che vanno girando oggigiorno, Wscript.KakWorm non procura grossi danni in quanto non cancella file o applicazioni residenti su hard disk, anche se si autoallega a tutti i messaggi in uscita da Outlook, ma soltanto il primo giorno di ogni mese alle cinque di pomeriggio.
Il virus sfrutta un noto buco di sicurezza, neutralizzabile con una patch disponibile sul sito Microsoft , per installarsi alla semplice apertura dell’email infetta. Chi ha già installato la patch, spiegano quelli di Symantec, non deve preoccuparsi.
Sul piano “tecnico”, il worm si aggancia come signature a qualsiasi messaggio in uscita. Una volta a destinazione, si inserisce nella directory di avvio di Windows e crea il file KAK.HTA. A quel punto chiude Windows che, quando viene riavviato, riattiva il file che infila nel registro le istruzioni:
HKCU/Identities/ /Software/
Microsoft/Outlook/Express/5.0/signatures
e
HKLM/Software/Microsoft/Windows/
CurrentVersion/Run/cAgOu
In questo modo il virus non solo si allega a tutti i messaggi in uscita ma fa anche in modo di venire eseguito ad ogni reboot del sistema. Il primo di ogni mese, alle cinque di pomeriggio, il virus fa apparire il messaggio: “Kagou-Anti-Kro$oft says not today!” e chiude Windows.
Per rimuoverlo dal sistema è sufficiente cancellare il file KAK.HTA e la riga di comando “HKLM/Software/Microsoft/Windows/
CurrentVersion/Run/cAgOu”
dal file di registro di Windows.