WScript.KakWorm - это не совсем вирус, а интернет червь, причем способ его распространения достаточно хитрый. Он распространяется по электронной почте, но зараженное письмо не содержит вложения, заражен сам текст письма. Т.е. однажды открыв письмо (или если у Вас включен режим предпросмотра, то просто установив курсор на письмо) Вы заражаете Ваш компьютер.
Если Ваш компьютер еще не заражен KakWorm'ом (т.е. Вы не открывали зараженное письмо) то чтобы избавиться от червя надо сделать следующее:
· отключить режим предпросмотра в почтовой программе;
· временно деактивировать AVP Монитор;
· запустить почтовую программу;
· удалить зараженное сообщение из всех папок (не открывая его);
· сжать все папки;
· активировать AVP Монитор.
Если Ваш компьютер уже заражен KakWorm'ом, то придется сделать следующее:
выключить режим предпросмотра в почтовой программе;
удалить из ветки "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" системного реестра ключ "cAg0u = "C:\WINDOWS\SYSTEM\(name).hta", где "(name)" - это 8-символьное имя (например 68DAEF80.HTA);
перегрузить компьютер;
удалить следующие файлы: KAK.HTA из C:\Windows, KAK.HTM из C:\Windows\System (name).HTA из C:\Windows\System, где (name) - это 8 символьное имя
KAK.HTA из C:\Windows\Start Menu\Programs\Startup;
удалить подпись по умолчанию в почтовом клиенте;
удалить все зараженные сообщения из всех папок (как это описано выше).
При инсталляции червь I-Worm.PrettyPark копирует зараженный файл в системный каталог Windows под именем FILES32.VXD и регистрирует его в системном реестре таким образом, что файл FILES32.VXD запускается при старте каждой программы. Для этого червь создает в системном реестре новый ключ, который ключ ассоциирован с файлом FILES32.VXD (копией червя). Этот файл имеет расширение VXD, однако он является не VxD-драйвером Win95/98, а абсолютно нормальной программой Windows32.
Чтобы полностью избавиться от PrettyPark надо сделать следующее:
переименовать regedit.exe в regedit.com;
запустить regedit и установить
"HKEY_CLASSES_ROOT\exefile\shell\open\command" в ""%1" %*";
запустить AVP и пролечить компьютер;
переименовать regedit обратно.
При инсталляции в систему червь создает в системном каталоге Windows файлы SKA.EXE и SKA.DLL и сохраняет файл WSOCK32.DLL с именем WSOCK32.SKA и дописывает сегмент своего кода в файл WSOCK32.DLL.
Удаление зараженных файлов:
Необходимо удалить файлы SKA.EXE и SKA.DLL из системного каталога Windows, заменить инфицированный файл WSOCK32.DLL на его незараженную копию WSOCK32.SKA. Следует также найти и удалить первоначальный EXE-файл HAPPY99.EXE.
Для дальнейшей защиты компьютера от данного червя достаточно всего лишь установить атрибут "только чтение" у файла WSOCK32.DLL.Червь не в состоянии заразить систему в этом случае, поскольку он не обрабатывает атрибуты файлов.
Антивирусные программы
Если вы любитель новых программ, игрушек, ведете активную переписку по электронной почте и используете при этом Word, либо просто хотите следовать вышеуказанным правилам, вам необходимо использовать антивирус. Какой антивирус самый лучший? Всё зависит от ваших вкусов и предпочтений, так что решайте сами. Есть несколько параметров, по которым различные антивирусы можно сравнить между собой. Судя по собственному опыту их использования и мнениям специалистов, антивирусная программа, достойная к применению, должна "уметь":
· создавать аварийную дискету;
· сканировать загрузочный сектор и создавать копию исходного загрузочного сектора;
· сканировать файлы, включая архивные (.ARJ,.ZIP,.RAR);
· сканировать оперативную память;
· автоматически сканировать диск по заранее заданному расписанию;
· проверять файлы при их поступлении на компьютер и при обращении к дисковому или сетевому устройству, сканировать эти устройства в поисках вирусов;
· при перезагрузке проверять, не осталась ли в дисководе дискета, и предупреждать об этом пользователя;
· сканировать диск в фоновом режиме;
· обнаруживать макро-вирусы в документах Word и Excel;
· регистрировать результаты просмотра в виде отчета на экране или в распечатке.
Список не маленький, но обязательный. Иначе толку от такой программы не будет никакого. Кроме вышеперечисленного, антивирус должен быть надежен, быстр и удобен в работе (отсутствие "зависаний" и прочих технических проблем), качественно обнаруживать вирусы всех распространенных типов, не иметь "ложных срабатываний", обладать возможностью лечения зараженных объектов, периодически (чем чаще, тем лучше) обновляться (пополнять базу новыми вирусами), быть мультиплатформенным (DOS, Windows, Windows95, Windows NT, Novell NetWare, OS/2, Alpha, Linux и т.д.) и иметь возможность администрирования сети.
По алгоритму работы различают следующие виды антивирусных программ:
Программы-фильтры или сторожа постоянно находятся в оперативной памяти компьютера и выполняют защитные функции.
Программы-ревизоры запоминают исходное состояние программ, каталогов и т.д., когда компьютер ещё не был заражён вирусом, а затем периодически сравнивают текущее состояние с исходным. При выявлении каких-либо несоответствий сообщение об этом выдается пользователю.
Программы-доктора не только обнаруживают, но и “лечат” зараженные программы или диски.
Программы-детекторы позволяют обнаруживать файлы, зараженные одним или несколькими известными разработчиками программ вирусами.
Программы-вакцины модифицируют программы и диски таким образом, что это не отражается на работе программы, но вирус от которого происходит вакцинация, считает их уже зараженными и не внедряется в них.
На сегодняшний день существует несколько ведущих антивирусных пакетов: российские Antiviral Toolkit Pro лаборатории Евгения Касперского и Dr. Web от "ДиалогНауки", а также западные McAfee Total Virus Defence от Nеtwork Associates, Norton AntiVirus от Symanteс и некоторые другие.
Антивирус Касперского
ЗАО “Лаборатория Касперского” была основана в 1997 г. Сегодня это самый известный в России разработчик широкого спектра программных продуктов для обеспечения информационной безопасности: систем защиты от вирусов, нежелательной почты (спама) и хакерских атак.
Годы упорной работы позволили компании стать лидером в разработке технологий защиты от вирусов. Лаборатория Касперского первой разработала многие современные стандарты антивирусных программ. Основной продукт компании, Антивирус Касперского, обеспечивает надёжную защиту всех объектов вирусных атак.
Антивирус Касперского Personal предназначен для антивирусной защиты персональных компьютеров от всех известных вирусов, включая потенциально опасное ПО. Программа осуществляет постоянный контроль всех источников проникновения вирусов – электронной почты, интернета, дискет, компакт-дисков и т.д.
Антивирус Касперского не проверяет повторно те объекты, которые были проанализированы во время предыдущей поверки и с тех пор не изменились, не только при постоянной защите, но и при проверке по требованию. Такая организация работы заметно повышает скорость работы программы.
Заключение
Сегодня науке известно около 30 тысяч компьютерных вирусов – маленьких вредоносных программок, следующих в своей жизни только трём заповедям:
1. плодиться;
2. прятаться;
3. портить.
А стоит за всем этим… простое человеческое тщеславие, глупость и инстинктивная тяга к разрушениям. Мы умиляемся, видя сосредоточенно уничтожающего песчаный замок или старый журнал ребёнка, а позднее такие вот подросшие, но так и не выросшие дети калечат наши компьютеры.