Лабораторія Касперського b> p>
Інтернет-черв'як "Курнікова" переслідує шанувальників знаменитої тенісистки
Крім тих, хто використовує Антивірус Касперського p>
"Лабораторія Касперського", російський лідер в області розробки систем інформаційної безпеки, повідомляє про
виявлення в "дикому вигляді" нової модифікації Інтернет-хробака "Lee", більш відомої як "Курнікова". Черв'як вже встиг
вразити ряд комп'ютерних систем в США і Східній Азії. Разом з тим, він не представляє ніякої небезпеки для користувачів Антивірус Касперського:
завдяки інтегрованою у програму унікальної технології евристичного аналізу програмного коду, ця шкідлива програма виявляється без
будь-яких додаткових оновлень антивірусної бази. p>
Методи розповсюдження і роботи даного хробака практично ідентичні сумно відомому "ILOVEYOU", що викликав
глобальну епідемію в травні минулого року. "Курнікова" створений за допомогою генератора вірусів "[K] Alamar's Vbs Worms Creator",
що дозволяє навіть починаючим користувачам випускати свої власні віруси. Хробак написаний на мові програмування Visual Basic Script (VBS), зашифрований і
поширюється по мережі Інтернет за допомогою повідомлень електронної пошти, що містять вкладений файл "AnnaKournikova.jpg.vbs". p>
lee.bmp p>
Після запуску файлу хробак реєструє себе в системному реєстрі Windows, отримує доступ до адресній книзі поштової програми
MS Outlook і непомітно для користувача розсилає свої копії по всіх знайдених адресах електронної пошти. Щоб уникнути повторної розсилки черв'як створює
додатковий ключ в системному реєстрі: p>
HKEY_CURRENT_USERSoftwareOnTheFlymailed p>
Хробак не містить будь-яких небезпечних побічних дій. Крім масової розсилки заражених файлів, що перевантажують
корпоративні та персональні канали передачі даних, 26 січня "Курнікова" запускає Інтернет-броузер і відкриває голландська Web
сайт: p>
Dynabyte.bmp p>
Подібно "ILOVEYOU" даний хробак використовує прийом з "подвійним" розширенням файлу-носія вірусу:
"JPG.VBS". Присутність помилкового розширення "JPG" в імені файла має на меті дезорієнтувати користувача, впевненого в тому, що
програми такого типу не можуть містити віруси. Однак при запуску файлу він передається на обробку процесору скрипт-програм Windows Scripting Host,
який і виконує код хробака. p>
"Курнікова" - далеко не технологічне досягнення в галузі створення шкідливих програм. Це самий звичайний
скрипт-вірус, який використовує добре відомі методи проникнення на комп'ютери. Єдина причина, завдяки якій він отримав таке розповсюдження --
використання імені Анни Курникової, добре відомою не тільки прекрасною грою в теніс, але також і частково гіпнотичним впливом на чоловічу половину
людства. Остання обставина і зумовило неможливість деяких користувачів встояти перед спокусою подивитися на фотографію коханої
спортсменки ", - коментує Денис Зенкин, керівник інформаційної служби" Лабораторії Касперського ". p>
Запобігання зараження p>
З метою недопущення проникнення хробака "Лабораторія Касперського" радить користувачам у жодному випадку не
запускати файл "AnnaKournikova.jpg.vbs". Ми також рекомендуємо системним адміністраторам налаштувати фільтри вхідної та вихідної поштової
кореспонденції таким чином, щоб блокувати пересилання електронних повідомлень, що містять такі файли. p>
Методи видалення p>
Для видалення із системи цього Інтернет-хробака необхідно виконати наступні кроки: p>
1) знищити "AnnaKournikova.jpg.vbs" з системного каталогу Windows;
2) стерти наступні ключі системного реєстру Windows:
HKEY_CURRENT_USERSoftwareOnTheFly
HKEY_CURRENT_USERSoftwareOnTheFlymailed p>
Нагадаємо, що цей Інтернет-черв'як визначається "Антивірус Касперського" за замовчуванням і не вимагає ніяких
додатки антивірусної бази. p>
Інформаційна служба "Лабораторії Касперського" p>
Вірус-черв'як, що заражає системи під керуванням Win32. Заражає програми Win32, встановлює троянську програму типу "Backdoor", намагається
розсилати себе в електронних листах. Черв'як викликав глобальну епідемію у вересні-жовтні 2000 року. p>
Має досить незвичайну структуру і складається з трьох практично незалежних частин, які виконуються незалежно один від одного. Цими трьома
компонентами є: вірус, що заражає EXE-файли Win32; черв'як, що розсилають електронні листи; троянець-backdoor. p>
Дві останні компоненти зберігаються в тілі вірусу в упакованому вигляді. При старті вірус розпаковує і запускає їх на виконання: p>
Структура вірусу
г ===============¬ | Вірусні | -> інсталює в систему компоненти хробака і backdoor, | процедури | потім шукає і заражає Win32 EXE-файли | існталляціі і | | зараження EXE | |---------------| | Код хробака | -> розпаковується і запускається як окрема програма | (упакований) | |-------------- - | | Backdoor-код | -> розпаковується і запускається як окрема програма | (упаковаан) | L ===============-
Заражений EXE-файл г ===============¬ | Код та дані | | файлу | | | |===============| | Код вірусу: | |--------------¬| | | Інсталяція | | | | і зараження | | |+-------------+| | | Черв'як | | |+-------------+| | | Backdoor | | | L -------------- | L ======= ========-
Слід зазначити, що код хробака не містить всіх процедур необхідних, для зараження системи з листа електронної пошти. З цієї причини хробак поширюється в
електронних листах, будучи сам заражений вірусом (див. нижче). Навіщо потрібна така надмірно складна технологія - не цілком зрозуміло. P>
Вірусна компонента містить рядки тексту: p>
SABI +. b ViRuS
Software provide by [MATRiX] VX TeAm: Ultras, Mort, Nbk, LOrd DArk, Del_Armg0,
Anaktos
Greetz: All VX guy in # virus and Vecna for help us Visit us at:
http://www.coderz.net/matrix p>
Черв'як містить текст: p>
Software provide by [MATRiX] VX team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
All VX guy on # virus channel and Vecna
Visit us: www.coderz.net/matrix p>
Backdoor містить текст: p>
Software provide by [MATRiX] team:
Ultras, Mort, Nbk, LOrd DArk, Del_Armg0, Anaktos
Greetz:
Vecna 4 source codes and ideas p>
Вірусна компонента
При зараженні файлів вірус використовує технологію "Entry
Point Obscuring "(без точки входу), тобто вірус записується не в стартовий адреса заражаємо програми, а в якесь інше місце. У даному
випадку вірус записується в кінець файлу і виправляє відповідну інструкцію в середині файлу: записує в неї команду переходу на свій код. У результаті
вірус одержує керування не в момент запуску зараженого файлу, а тоді, коли отримує управління відповідний блок коду зараженої програми. p>
Код вірусу в файлах зашифрований, і вірус спочатку розшифровує себе і потім передає управління на свою основну процедуру. p>
Перед тим, як інсталювати інші компоненти і заражати файли вірус шукає в системі антивірусні програми і припиняє свою роботу, якщо будь-яка з
них виявлено: p>
AntiViral Toolkit Pro
AVP Monitor
Vsstat
Webscanx
Avconsol
McAfee VirusScan
Vshwin32
Central do McAfee VirusScan p>
Потім вірус інсталює компоненти хробака і backdoor. Всього створюється три файли, вони створюються в каталозі Windows і мають атрибут "прихований": p>
IE_PACK.EXE - "чистий код" компоненти-хробака
WIN32.DLL - черв'як (копія попереднього файлу), заражений вірусом
MTX_.EXE - backdoor-компоненту p>
Потім вірус шукає і заражає Win32 EXE-файли в поточному, часовому і основному каталозі Windows і завершує свою роботу. p>
Хробак
Для розсилки заражених повідомлень черв'як використовує метод, вперше виявлений в Інтернет-черв'яка "Happy".
Хробак записує одну зі своїх процедур в файл WSOCK32.DLL таким чином, що вона перехоплює відсилання даних в Інтернет (процедура "send"). У
результаті черв'як в зараженій бібліотеці WSOCK32.DLL отримує управління кожного разу, коли будь-які дані відправляються в Інтернет. p>
Зазвичай при старті хробака файл WSOCK32.DLL вже використовується будь-яким додатком Windows і заблокований на запис, що унеможливлює
негайне його зараження. Черв'як обходить це досить стандартним методом: копіює цей файл з ім'ям WSOCK32.MTX, заражає копію і записує в файл
WININIT.INI команди заміщення файлу WSOCK32.DLL на заражений WSOCK32.MTX при наступній перезавантаження Windows, наприклад: p>
NUL = C: WINDOWSSYSTEMWSOCK32.DLL
C: WINDOWSSYSTEMWSOCK32.DLL = D: WINDOWSSYSTEMWSOCK32.MTX p>
Після перезавантаження хробак активізується як компонента WSOCK32.DLL і перевіряє
дані і команди, які надсилаються в Інтернет. p>
Особливу увагу черв'як приділяє Інтернет-адресами антивірусних компаній і блокує відсилання листів на адреси цих компаній, так само як відвідування їх
Web-сайтів. Черв'як детектує ці імена по 4-символьним комбінацій: p>
nii.
nai.
avp.
f-se
mapl
pand
soph
ndmi
afee
yenn
lywa
tbav
yman
(NAI, AVP, F-Secure, Panda, Sophos, і т.д.) p>
Хробак також блокує відсилання листів на домени: p>
wildlist.o *
il.esafe.c *
perfectsup *
complex.is *
HiServ.com *
hiserv.com *
metro.ch *
beyond.com *
mcafee.com *
pandasoftw *
earthlink .*
inexar.com *
comkom.co .*
meditrade .*
mabex.com *
cellco.com *
symantec.c *
successful *
inforamp.n *
newell.com *
singnet.co *
bmcd.com.a *
bca.com.nz *
trendmicro *
sophos.com *
maple.com .*
netsales.n *
f-secure.c * p>
Хробак також перехоплює відправляється електронні листи і посилає повідомлення-двійник зі своєю копією, прикріпленому до листа (так само, як це
робить хробак "Happy"). Ім'я вкладеного файлу вибирається з декількох варіантів залежно від дня місяця: p>
README.TXT.pif
I_wanna_see_YOU.TXT.pif
MATRiX_Screen_Saver.SCR
LOVE_LETTER_FOR_YOU.TXT.pif
NEW_playboy_Screen_saver.SCR
BILL_GATES_PIECE.JPG.pif
TIAZINHA.JPG.pif
FEITICEIRA_NUA.JPG.pif
Geocities_Free_sites.TXT.pif
NEW_NAPSTER_site.TXT.pif
METALLICA_SONG.MP3.pif
ANTI_CIH.EXE
INTERNET_SECURITY_FORUM.DOC.pif
ALANIS_Screen_Saver.SCR
READER_DIGEST_LETTER.TXT.pif
WIN_ $ 100_NOW.DOC.pif
IS_LINUX_GOOD_ENOUGH!. TXT.pif
QI_TEST.EXE
AVP_Updates.EXE
SEICHO-NO-IE.EXE
YOU_are_FAT!. TXT.pif
FREE_xxx_sites.TXT.pif
I_am_sorry.DOC.pif
Me_nude.AVI.pif
Sorry_about_yesterday.DOC.pif
Protect_your_credit.HTML.pif
JIMI_HMNDRIX.MP3.pif
HANSON.SCR
FUCKING_WITH_DOGS.SCR
MATRiX_2_is_OUT.SCR
zipped_files.EXE
BLINK_182.MP3.pif p>
Як файлу-вкладення використовується WIN32.DLL, створений вірусної компонентою
при інсталяції в систему (WIN32.DLL є кодом хробака, зараженим вірусом). p>
Слід зазначити, що сам хробак не створює WIN32.DLL і нездатний до подальшого поширення без цього файлу. Тобто "чистий код" хробака
не в змозі сомостоятельно поширюватися без "допомоги" вірусної компоненти. p>
Відомі версії черв'яка містять помилку, внаслідок якої багато поштові сервера не в змозі прийняти повідомлення з кодом хробака-вірусу. Однак, якщо
використовують з'єднання Dial-up або поштовий сервер має достатню потужність, хробак розсилає себе без особливих проблем. p>
Backdoor
Backdoor-компонента створює в системному реєстрі два ключі: p>
HKLMSoftware [MATRIX]
HKLMSoftwareMicrosoftWindowsCurrentVersionRun
SystemBackup =% WinDir% MTX_.EXE p>
де% WinDir% є основним каталогом Windows. p>
Перший ключ є ідентифікатором зараженості системи; другий ключ використовується для авто-запуску backdoor-компоненти при кожному рестарті Windows. p>
При запуску backdoor-компонента залишається активною як приховане додаток (сервіс), періодично звертається і якомусь Інтернет-сервером та намагається
завантажити звідти файли, які потім приховано запускаються на виконання. Таким чином, backdoor-компонента в змозі за бажанням автора вірусу заразити
комп'ютер іншими вірусами або встановити інші троянські програми. p>
Ця компонента також містить помилку, в результаті якої при завантаженні файлів Windows видає стандартне повідомлення про помилку в додатку і завершує
його роботу. p>
Blebla.b
Рімейк оригінальній версії хробака. Під час запуску черв'як копіює себе в систему під ім'ям c: windowssysrnj.exe і потім створює і модифікує безліч
ключів системного реєстру для активізації цієї копії. p>
HKEY_CLASSES_ROOTrnjfile
DefaultIcon =% 1
shellopencommand = sysrnj.exe "% 1"% * p>
цей ключ викликає запуск копії хробака при посиланнях на файл "rnjfile", всі наступні змінні хробаком ключі якраз і
перенаправляють управління на копію хробака: p>
HKEY_CLASSES_ROOT. exe = rnjfile
. jpg = rnjfile
. jpeg = rnjfile
. jpe = rnjfile
. bmp = rnjfile
. gif = rnjfile
. avi = rnjfile
. mpg = rnjfile
. mpeg = rnjfile
. wmf = rnjfile
. wma = rnjfile
. wmv = rnjfile
. mp3 = rnjfile
. mp2 = rnjfile
. vqf = rnjfile
. doc = rnjfile
. xls = rnjfile
. zip = rnjfile
. rar = rnjfile
. lha = rnjfile
. arj = rnjfile
. reg = rnjfile p>
таким чином, при запуску/відкритті файлів. EXE,. JPG,. JPEG і т.д. викликається копія хробака. p>
Ці ключі викликають запуск черв'яка при відкритті будь-якого з перерахованих вище файлів. p>
Черв'як посилає свої копії в конференцію USENET alt.comp.virus у файлі, приєднаному до повідомлень: p>
From: "Romeo & Juliet" [[email protected]]
Subject: [Romeo & Juliet] RiP p>
При розсилці своїх копій за адресами електронної пошти з адресної книги Windows черв'як використовує різні варіанти заголовка листа. "Тема"
(Subject) повідомлень хробака може бути порожньою, сгенеренной випадковим чином або вибраної з наступного списку: p>
Romeo & Juliet
where is my juliet?
where is my romeo?
hi
last wish???
lol:)
,,...'< br>!
newborn
merry christmas!
surprise!
Caution: NEW VIRUS!
scandal!
^ _ ^
Re: p>
В залежності від деяких умов черв'як створює на зараженій машині в випадкової послідовності дискові каталоги з іменами, взятими навмання з
папки Recycled, і створює в них файли з випадковими ж іменами. p>
Макро-віруси сімейства заражають область глобальних макросів (шаблон NORMAL.DOT) при відкритті зараженого документа. Інші документи заражаються при
їх закриття. Деякі варіанти вірусу заражають файли також при їх відкритті. При зараженні віруси сімейства дописуються до вже існуючих макросу
документа (якщо такі присутні). p>
Віруси містять рядок тексту, за якої визначають початок свого коду. У різних версіях вірусу цей рядок різна: p>
<- this is a marker!
<- this is another marker! p>
Віруси сімейства ведуть "звіт" про заражених комп'ютерах: при зараженні кожного нового комп'ютера вони дописують до свого коду
рядки-коментарі, до яких включено дата/час зараження і адресу користувача (як він зберігається в Windows). p>
Віруси сімейства виявляються різними способами. "Marker.a" у липні починаючи з 23-го числа виводять повідомлення: p>
Did You Wish Shankar on his Birthday?
Thank You! I Love You. You are wonderfull.
You are Heart Less. You Will Be Punished For This p>
"Marker.c" і деякі інші варіанти посилають свій "звіт" про заражених комп'ютерах на якийсь ftp-сервер. p>
Marker.ay
Коли Word відкриває документ, управління отримує процедура вірусу. Ця процедура перевіряє відкривається документ і заражає його якщо він ще не заражена.
Для цього вона видаляє всі макроси з документа а потім копіює макрос вірусу з області глобальних макросів. P>
Вірус вивантажує з пам'яті всі завантажені в Word шаблони та доповнення (add-ins) і потім видаляє всі файли з каталогу автозавантаження Word. Вірус також
змінює інформацію про користувача Word: p>
Ім'я = "JonMMx 2000"
ініціали = "MeMeX"
Адреса = "[email protected]" p>
При першому зараженні комп'ютера а також перші числа кожного місяця вірус створює в каталозі Windows файл "Jon.html" і встановлює його як
фон робочого столу. Цей файл містить текст: p>
a Poet For My Dear Love Dear Iin To the very best that happen in mylife Long ago and in my mind, I can see your face lonely and lost in time You were gone since yester month But the memories, never would dissapear I think of you , I THINK OF YOU. Yes it's true I can pretend. But the paint of blue, keep beat me till the end. Yes it's hard to understand. Why you leaving me and all we dreaming on Dear Iin, I close my eyes and see your face. That's all I have to do to be with you. Dear Iin, altough I can not touch your face. I know what I can do to be with you Long ago so faraway. But the light of blue, still living with me today. You were gone since yester month. But the memories never would dissapear. Speed Hari
WScript.KakWorm b>
Цей інтернет-черв'як написаний на мові Java Script. Для свого поширення черв'як використовує MS Outlook Express. На відміну від більшості хробаків цього
класу він не прикріплює до заражаємо листа додатковий файл-вкладення, а вбудовує своє тіло в лист як скрипт. p>
Черв'як працює на англійській і французькій версіях Windows. Черви не працездатний, якщо Windows встановлена в каталог, відмінний від
"C: WINDOWS". P>
Черв'як повністю працездатний тільки в системах з встановленим MS Outlook Express. У MS Outlook черв'як також активізується і заражає систему, але
поширюватися далі не може. Під іншими поштовими системами працездатність хробака залежить від можливостей даної поштової системи. P>
При зараженні комп'ютера черв'як створює три файли. Перші дві використовуються для зараження системи, треті - для подальшого розповсюдження через повідомлення
електронної пошти: p>
1. KAK.HTA в каталозі автозавантаження Windows
2. HTA-файл з випадковим ім'ям в системному каталозі Windows
3. KAK.HTM файл у каталозі Windows p>
1-го числа місяця після 17:00 черв'як виводить на екран повідомлення: p>
Kagou-Anti-Kro $ oft says not today! p>
після чого закриває Windows. p>
Розповсюдження
Хробак приходить на комп'ютер у вигляді листа в HTML-форматі. Тіло листа містить програму-скрипт на мові JavaScript, яка і є кодом хробака.
В результаті при відкритті або попередньому перегляді повідомлення скрипт-програма не видно, тому що скрипти ніколи не відображаються в
HTML-документах (повідомленнях, сторінках і т.п.), але отримує управління - і черв'як активізується. P>
Черв'як вражає систему в три етапи: p>
Створює свою копію в дисковому фото в каталозі автозавантаження
Windows (всі програми з цього каталогу автоматично запускаються при
старті Windows).
Будучи запущеним з каталогу автозавантаження черв'як копіює себе в системний
каталог Windows і прописується в системном реєстрі в секції авто-запуску.
Потім видаляє свій перший примірник (копію) з каталогу автозавантаження
Windows.
У ключах реєстру MS Outlook Express створює нову підпис для
листів. Цей підпис посилається на файл з кодом хробака. З цього моменту
Outlook Express буде сам вставляти код хробака в усі відсилаються листи.
Така "крок за кроком" схема необхідна черв'якові тому, що на першому кроці (будучи запущеним з повідомлення) черв'як може отримати доступ до диску, але
не до системного реєстру. На другому кроці, коли черв'як запущений з дискового файлу, він видаляє свій файл "KAK.HTA" з каталогу автозавантаження
Windows щоб приховати свою присутність, тому що всі програми в каталозі автозавантаження видно в меню StartProgramsStartup Menu
(СтартПрограммиАвтозагрузка). P>
Распространіеніе: етап 1 - хробак активізується з зараженого повідомлення
При активізації з зараженого повідомлення черв'як спочатку отримує доступ до локальному диску комп'ютера. Щоб обійти захист (доступ до диску з скриптів за
замовчуванням заборонено) хробак використовує пролом у захисті, що іменується "TypeLib Security Vulnerability" - він створює ActiveX-об'єкт, який відзначений як
безпечний, але в той же час може створювати файли на диску. Використовуючи цей об'єкт черв'як і створює свої файли на локальному диску комп'ютера. P>
Потім хробак створює файл "KAK.HTA" і поміщає в нього свій код. Цей файл буде виконано при наступному завантаженні Windows, тому що хробак створює його
в каталозі автозавантаження Windows. p>
Коментар:
HTA-файл (HTML Application) - тип файлів, що з'являється після установки MS Internet Explorer 5.0. HTA-файли містять звичайний HTML-текст
і скрипт-програми, але при запуску не викликають оболонку Internet Explorer, а виконуються як окремі додатки. Це дає можливість розробляти програми,
використовуючи скрипт-програми. p>
При створенні файлів хробак не визначає справжнього місця розташування каталогу Windows, а завжди припускає, що Windows встановлена в каталозі
"C: WINDOWS". Тому черв'як не працює, якщо каталог Windows відрізняється від "C: WINDOWS". Під час запису в каталог автозавантаження черв'як пробує
записати в два каталоги автозавантаження: p>
MENUDг ~ 1PROGRA ~ 1DгMARR ~ 1 (ім'я за умовчанням для французької версії Windows)
STARTM ~ 1ProgramsStartUp (ім'я за умовчанням для англійської версії Windows) p>
Якщо каталог автозавантаження Windows має інше ім'я (в іншій локалізації Windows), то черв'як не може записати свої файли на диск і тому не може
поширюватися далі. p>
Распространіеніе: етап 2 - черв'як активізується з файлу KAK.HTA
При наступного перезавантаження Windows файл "KAK.HTA" в каталозі автозавантаження отримує управління. Скрипт хробака, записаний в цьому файлі,
створює такий же HTA-файл в системному каталозі Windows. Цей файл має ім'я, яке залежить від параметрів системи (наприклад "9A4ADF27.HTA"). Потім хробак
змінює системний реєстр так, щоб створений HTA-файл запускався при кожному завантаженні Windows. Завдання цього файлу - заразити систему заново, якщо
користувач поміняв "підпис за умовчанням" в Outlook Express (тобто надіслані листи перестають заражатися). p>
Потім скрипт у файлі "KAK.HTA" створює HTML-файл "KAK.HTM", що містить код хробака (HTML-сторінка в цьому файлі не
має тексту, тільки код хробака). Цей файл потім вставляється в відправляються повідомлення. P>
І, нарешті, черв'як додає в файл "C: AUTOEXEC.BAT" команди, при перезавантаження системи видаляють файл "KAK.HTA" з каталогу
автозавантаження - його роль тепер виконуватиме HTA-файл в системному каталозі Windows (див. вище). p>
Распространіеніе: етап 3 - розсилання заражених листів
Скрипт хробака змінює секції системного реєстру, що відносяться до MS Outlook Express - змінюється ключ "підпис за замовчуванням". Хробак записує туди
посилання на свій файл "KAK.HTM". p>
Надалі всі листи, які мають формат HTML (це стандартний формат MS Outlook Express), будуть автоматично доповнюватися підписом, яка містить код
хробака. Outlook Express кожного разу при створенні нового повідомлення автоматично додає в нього вміст файлу "KAK.HTM", тобто скрипт-програму
хробака, а отже всі надіслані повідомлення виявляються зараженими. p>
Листи, що мають формат RTF або "Plain text", не заражаються (і не можуть бути заражені). p>
Захист
Періодичне сканування дисків антивірусними сканерами не забезпечує захист від цього різновиду хробаків: кожен раз, коли відкривається заражене
повідомлення, вірус знову заражає систему. Крім того, якщо включений попередній перегляд повідомлення, то достатньо просто вибрати заражене
повідомлення в списку повідомлень - і вірус знову активізується. p>
1. Для захисту можна використовувати антивірусні монітори (on-access scanners). Антивірусні монітори здатні зловити хробака в момент його запису на диск і
запобігти зараженню системи, але в той же час вони не здатні запобігти активізацію скрипта з HTML-листи, тому що HTML-скрипти виконуються
безпосередньо в системній пам'яті комп'ютера без збереження їх на диск. p>
Кращий спосіб - використовувати спільно з антивірусними моніторами утиліти, що перевіряють скрипт-програми безпосередньо перед їх виконанням (див.
"AVP Script Checker"). Ці програми запобігають активізацію шкідливого скрипта, а значить гаантіруют, що скрипт не зможе заразити або пошкодити
систему. p>
2. Для запису своїх файлів на диск хробак використовує пролом у захисті Internet Explorer 5.0. Компанія Microsoft випустила доповнення, яке усуває цю
пролом ( "Scriptlet.Typelib" security vulnerability). Ми рекомендуємо Вам відвідати http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP і
встановити цей додаток. p>
3. Якщо Ви не плануєте використовувати HTML-додатки (HTA-файли) у своїй роботі, є ще один спосіб убезпечити себе від вірусів, що використовують
HTA-файли для свого розповсюдження. Для цього треба видалити асоціацію до розширення "HTA". Для цього потрібно виконати наступні дії: p>
Відкрити вікно "My Computer (Мій комп'ютер)" двічі клацнувши
на піктограмі "My Computer (Мій комп'ютер)" на робочому столі.
У меню вибрати пункт "View (Вид)" ->
"Options ... (Параметри. ..)".
На закладці "File Types (Типи файлів)" в списку
"Registered file types (Зареєстровані типи файлів)" вибрати
"HTML Applicaton".
Клацніть на кнопці "Remove (Видалити)" і підтвердити
дію.
Закрити діалогове вікно налаштувань.