Instructions pour la désinfection de "Kak"
Par les participants du groupe alt.comp.virus
(Ces pages de sécurité sont le résultat d'un effort collectif continu)
Main Menu
[Note du traducteur: malheureusement, je n'avais pas á disposition
les versions françaises des logiciels mentionnés dans le texte suivant.
Je n'ai donc pas pu traduire exactement certains détails comme par
exemple les noms de menus ou de boîtes de dialogue. Cependant je
pense que cela ne devrait pas poser de problèmes. Je vous remercie de
votre compréhension.]
Veuillez attentivement lire toutes les instructions ci-dessous...
Par: Nick FitzGerald
(publié avec la permission de Nick)
Ces instructions ne vous aideront pas simplement à vous débarrasser de Kak; elles
vous expliqueront aussi comment immuniser votre ordinateur contre Kak ou de futurs
virus qui exploitent le même trou de sécurité pour infecter votre ordinateur.
Note: Kak se propage par courrier électronique.
Depuis votre contamination, vous avez envoyé des messages contaminés. Il faut
que vous vérifiiez vos "Eléments envoyés" après l'application de
toutes ces instructions ci-dessous et que vous envoyiez des alertes par courrier
électronique pour avertir vos amis et leur présenter vos excuses. Vous leur avez envoyé des messages contaminés!
Note 2: Trop de descriptions traitant de Kak ignorent le fait que les utilisateurs
infectés ont des répertoires de courrier remplis de messages infectés. La prochaine
fois qu'ils lisent un de ces messages, ils seront ré-infectés s'ils ne bouchent pas
le trou de sécurité duquel Kak dépend.
Pendant le nettoyage de Kak vous devez suivre mes conseils concernant les réglages
de sécurité pour Outlook Express et l'installation du correctif de sécurité
de MS mentionné à la fin de ce message.
Note 3: Si votre ordinateur vous présente une boîte de dialogue au démarrage
avec un message étrange (ce pourrait être "Kagou-Anti-Kro$oft says not today")
ignorez-la. Déplacez la boîte de dialogue hors de votre portée et faites le
suivant -- cliquer sur "Ok" éteindra l'ordinateur mais vous pouvez simplement
ignorer cette fenêtre et faire le suivant. Les personnes un peu plus courageuses
voudront peut-être presser Ctrl+Alt+Suppr et sélectionner la tâche nommée "Driver Memory Error", puis cliquer sur "End Task".
Dans l'ordre fixe -- ne demandez pas pourquoi. Faites-le:
Premièrement, n'utilisez plus cet ordinateur pour le courrier électronique et les nouvelles.
Fermez toutes les applications. Dans les instructions qui suivent, démarrez les
applications mentionnées puis effectuez seulement les changements de configuration décrits. Ensuite, fermez cette application.
Deuxièmement, vérifiez que le support d'ActiveX pour les sites sensibles est
entièrement désactivé. Cela empêchera les gens de sélectionner la mauvaise
option quand Outlook Express leur posera une question au sujet d'ActiveX.
Cela peut être vérifié ici: "Outils", "Options", onglet "Sécurité", "Zones de sécurité" ou alors dans le panneau de configuration Windows (choisissez
"Options Internet"). Ce sont deux chemins différents pour arriver au même contrôle.
Si vous ne savez pas comment vérifier cela, sélectionnez la "zone des sites sensibles"
et cliquez sur le bouton intitulé "Niveau standard" afin de remettre à zéro les préférences pour cette zone - ces préférences sont suffisantes.
Troisièmement, ajustez Outlook Express pour que le courrier électronique soit
considéré comme étant dans la "zone des sites sensibles". Cette option se trouve dans
l'onglet "Sécurité" du dialogue "Outils", "Options".
Quatrièmement, supprimez la définition de signature pour chaque utilisateur concerné
(si vous ne savez pas ce que cela signifie, vous n'avez probablement qu'un seul
utilisateur, alors vous ne devez le faire qu'une seule fois). Ces réglages se trouvent
dans l'onglet "Sécurité" " du dialogue "Outils"/"Options".
En théorie, vous pouvez maintenant utiliser Outlook Express 5 pour le courrier -- mais
ne le faites pas...
Cinquièmement, effacez les fichiers kak.htm (dans votre répertoire Windows) et
<nom>.hta (dans votre répertoire Windows\System). <nom> est une
chaîne de 8 caractères représentant un nombre hexadécimal -- c'est à dire qu'elle
est composée d'une certaine combinaison des caractères 0-9 et A-F. Il pourrait y avoir
plus d'un de ces fichiers, ils devraient avoir une taille de 4116 octets -- effacez-les
tous.
S'il y a plus d'un fichier, alors vous devriez vous informer sur les identités
utilisateurs d'Outlook Express et nettoyer les réglages de signature de toutes
les identités (cela est plus esthétique que nécessaire car de toute façon,
effacer le fichier kak.htm rend effectivement invalide les signatures).
Ces fichiers possèdent l'attribut "caché" - pour les voir il faut
que vous changiez le réglage standard dans l'explorateur Windows. Si vous
n'êtes pas sûr comment procéder, sélectionnez "Aide" du menu "Démarrer",
cliquez sur l'onglet "Index" puis tapez "fichiers cachés, afficher" sous Windows 95 et "attribut caché" sous Windows 98. Demandez ensuite à Windows
d'afficher l'aide à ce sujet.
Sixièmement, éditez autoexec.bat et supprimez les deux lignes qui créent et
effacent kak.hta dans le répertoire de démarrage de Windows. Si ae.kak existe
dans le répertoire racine (C:\) et que autoexec.bat n'a pas été changé depuis
la contamination de l'ordinateur, alors vous pouvez effacer (ou renommer)
autoexec.bat et renommer ae.kak en autoexec.bat (ae.kak est une sauvegarde
de autoexec.bat effectuée par Kak au moment de la contamination). Examinez le
répertoire de démarrage de Windows --
C:\windows\Menu Démarrer\Programmes\Démarrage\kak.hta ou
C:\windows\MENUDÉ~1\PROGRA~1\DÉMARR~1\kak.hta en format 8+3
-- et effacez le fichier kak.hta s'il existe.
Faites redémarrer l'ordinateur et cherchez attentivement une tâche
appelée "Driver Memory Error" qui apparaît (brièvement) sous
forme de bouton dans la barre des tâches. Si vous l'apercevez, c'est signe
que vous avez oublié quelquechose ou que vous n'avez pas suivi ces
instructions dans le bon ordre. Recommencez tout du début.
Supposant que tout a bien marché, visitez
http://www.microsoft.com/technet/security/bulletin/ms99-032.asp,
lisez le document et lancez le correctif officiel de MS qui bouche le trou
de sécurité exploité par Kak. Après avoir fait cela, vous pouvez remettre le
réglage pour la sécurité du courrier au niveau de la zone "Internet", mais je
vous le déconseille vivement!
Après tout ceci, il restera certainement au moins un message contenant le
code de Kak dans votre répertoire à courrier. A moins que MS ne réintroduise
ce trou de sécurité exploité par Kak à l'aide d'une mise à jour future de IE,
ces messages ne vous embêteront plus. Bien sûr, ce serait une très mauvaise
idée de les envoyer à qui que ce soit!
Notez aussi que les copies de messages sortants que vous recevez contiendront également
le code de Kak. A moins que vous ne possédiez un antivirus qui sache lire les
fichiers courrier de Outlook Express, le seul remède à peu près satisfaisant
pour empêcher que vous envoyiez un message infecté est de faire en sorte que
toutes vos identités n'envoient que du courrier en format texte brut au lieu
de cette idiotie de HTML. C'est donc une excellente idée de n'envoyer
que du courrier en format texte brut. Notez que pour que ceci prenne de l'effet,
vous devez non seulement changer le réglage "Texte brut" sous
"Outils"/"Options" "Envoyer", mais aussi
désactiver l'option "Répondre aux messages dans le même format"
(même dialogue).
Nick FitzGerald
Utilisateurs de Windows Millennium, notez bien:
Si vous ne pouvez pas nettoyer ou effacer des fichiers infectés des répertoires _Restore\Temp ou _Restore\Archive,
lisez ceci.
- Fin des instructions -
Quelques-uns d'entre vous se demandent peut-être
"Comment puis-je protéger mon ordinateur dans le futur?"
Réponse: Cliquez ici pour quelques conseils!
© Claymania Creations 2001 - 2008. Tous droits réservés
|