Computer Associates сообщает о вирусе-черве Wscript/Kak

Компания Computer Associates International (CA), специализирующаяся на средствах антивирусной защиты, опубликовала предупреждение о новом вирусе-черве, получившем название Wscript/Kak. Как сообщается, этот вирус заражает компьютеры с ОС Windows 98. Кроме того, особо следует отметить, что вирус уже обнаружен в «диком» виде. Однако для заражения этим вирусом и дальнейшего его распространения необходимы довольно специфичные условия. Вирус Wscript/Kak распространяется по электронной почте и заражает только системы с Windows 98, на которых установлена почтовая программа Outlook Express 5.0. Причем для заражения пользователю не нужно даже открывать никаких присоединенных файлов. В этом механизм работы Wscript/Kak сходен с вирусом-червем I-Worm.BubbleBoy.

Если на компьютер пользователя попадает зараженное вирусом Wscript/Kak письмо, то находящаяся в нем программа начинает исполняться, если в браузере Internet Explorer 5 установлен низкий или средний уровень защиты. Вирус Wscript/Kak записывает свой код в каталог Windows в виде файла «Kak.HTA». Кроме того, часть кода вируса записывается в виде файла «Kak.HTM» и создается его копия в каталоге WindowsSystem, а в системном регистре появляется запись:

«HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRuncAgOu».

В результате таких манипуляций, вирус запускается на исполнение при каждой загрузке Windows.

Затем вирус ищет установки пользователя («Identities») в Outlook Express 5.0 и изменяет в них подпись пользователя, в качестве подписи по умолчанию теперь используется файл «C:WindowsKak.HTM». Таким образом, вирус Wscript.Kak присоединяет себя ко всем письмам, отправляемым пользователем.

Кроме того, вирус проверяет системную дату и время и, если сумма числа и часа оказывается больше 17, то на экран выводится надпись «Kagou-Anti-Kro$oft says not today!», после чего вирус пытается закрыть Windows.

Computer Associates уже выпустила обновление для своего антивирусного ПО, которое позволяет удалить вирус Wscript.Kak, его можно загрузить по адресу http://antivirus.cai.com.