И, наконец, червь добавляет в файл "C:\AUTOEXEC.BAT" команды, при перезагрузке системы удаляющие файл "KAK.HTA" из каталога автозагрузки - его роль теперь будет исполнять HTA-файл в системном каталоге Windows (см.выше).
Скрипт червя меняет секции системного реестра, относящиеся к MS Outlook Express - меняется ключ "подпись по умолчанию". Червь записывает туда ссылку на свой файл "KAK.HTM".
В дальнейшем все письма, которые имеют формат HTML (это стандартный формат MS Outlook Express), будут автоматически дополняться подписью, содержащей код червя. Outlook Express каждый раз при создании новоего сообщения автоматически добавляет в него содержимое файла "KAK.HTM", т.е. скрипт-программу червя, а значит все отправляемые сообщения оказываются зараженными.
Письма, имеющие формат RTF или "Plain text", не заражаются (и не могут быть заражены).
Периодическое сканирование дисков антивирусными сканерами не обеспечивает защиту от этой разновидности червей: каждый раз, когда открывается зараженное сообщение, вирус снова заражает систему. Кроме того, если включен предварительный просмотр сообщения, то достаточно просто выбрать зараженное сообщение в списке сообщений - и вирус опять активизируется.
1. Для защиты можно использовать антивирусные мониторы (on-access scanners). Антивирусные мониторы способны поймать червя в момент его записи на диск и предотвратить заражение системы, но в то же время они неспособны предотвратить активизацию скрипта из HTML-письма, т.к. HTML-скрипты выполняются непосредственно в системной памяти компьютера без сохранения их на диск.
Лучший способ - использовать совместно с антивирусными мониторами утилиты, проверяющие скрипт-программы непосредственно перед их выполнением (см. "AVP Script Checker"). Эти программы предотвращают активизацию вредоносного скрипта, а значит гаантируют, что скрипт не сможет заразить или повредить систему.
2. Для записи своих файлов на диск червь использует брешь в защите Internet Explorer 5.0. Компания Microsoft выпустила дополнение, которое устраняет эту брешь ("Scriptlet.Typelib" security vulnerability). Мы рекомендуем Вам посетить http://support.microsoft.com/support/kb/articles/Q240/3/08.ASP и установить это дополнение.
3. Если Вы не планируете использовать HTML-приложения (HTA-файлы) в своей работе, есть еще один способ обезопасить себя от вирусов, использующих HTA-файлы для своего распространения. Для этого надо удалить ассоциацию к расширению "HTA". Для этого нужно выполнить следующие действия: