Dieser Worm kursiert schon seit geraumer Zeit im Netz und ist somit gar nicht so neu. Jedoch ist zur Zeit eine sehr hohe Verbreitung zu beobachten. Laut der Softwarefirmen F-Secure und McAfee seien jedoch nur französische und englische Windows 95 & 98 - Betriebssysteme davon betroffen.
Diese Tatsache beruft sich auch darauf, da einzig und allein über die Vorschaufunktion des Mailprogrammes Outlook ein System infiziert werden kann. Somit ist es seitens des Anwenders nicht "bindend erforderlich" einen entsprechenden Dataeianhang auszuführen, wie es bei den meissten anderen Würmern der Fall ist.
Der Worm nutzt zur Infizierungsroutine den Windows Scripting Host und AktiveX.
Nachdem eine befallene E-Mail geöffnet wurde (oder lediglich über die Vorschaufunktion), werden folgende Dateien auf das betroffene System kopiert:
C:\windows\kak.htm
und
C:\windows\system\"dateiname".hta
"dateiname" steht in diesem Beispiel für einen acht Zeichen langen Namen. Desweiteren wird die
AUTOEXEC.BAT verändert, so dass sie mit dem Zusatz
HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
cAg0u = "C:\WINDOWS\SYSTEM\"dateiname".hta"
beim nächsten Start des Sytem die neue HTA-Datei (HTML für
Anwendungen) ausführt. Somit wird die Registrierungsdatei von Outlook dahingehend verändert, dass bei jeder neu geschriebenen E-Mail die Datei "c:\windows\kak.htm" verwendet wird. Dabei ist es völlig unerheblich, welche Texte, Bilder, Empfänger etc. der Anwender auswählt.
Der Worm verbreitet sich somit lediglich über neu geschriebene E-Mails durch den Anwender des infizierten Systemes.
Der Worm verschickt sich also nicht selbstständig an alle oder eine festgelegte Anzahl von Adressen aus dem Adressbuch des Mailprogrammes Outlook, wie es z.B. bei VBS-Loveletter & Co. der Fall ist.
An jedem ersten Tag eines Monats gibt der Worm um 18:00 Uhr eine Meldung wie folgt auf den Bildschirm:
"Kagou-Anti-Kro$oft says not today!"
Danach wird das System heruntergefahren.
Anhand der oben beschriebenen Einträge, Dateien etc. kann der Anwender auch feststellen, ob ein Befall durch den Worm gegeben ist.
Sollte eine Infizierung vorliegen, sind folgende Schritte zur Entfernung zu beachten:
1. Mailprogramm schliessen.
2. Entfernung der Dateien: kak.hta und kak.htm
3. Den Eintrag aus der Registrierung unter dem oben angebenen Pfad (Eintrag in der Autoexex.bat) entfernen
(cAg0u = "C:\WINDOWS\SYSTEM\"dateiname".hta")
4. Die Vorschaufunktion im Mailprogramm deaktivieren.
5. Mailsignatur (wenn vorhanden !) löschen.
6. Alle alten befallenen E-Mail löschen.
