Идея подобного вируса уже ранее была реализована в нескольких вирусах для UNIX - в конце 80-х годов вирусы, написанные на командных языках клонов UNIX, стали настоящим бедствием для глобальных компьютерных сетей того времени. Наибольшую известность среди них получили сетевые вирусы-черви Cristmas Tree, HI.COM, Wank Worm. Не исключено, что новый вирус, написанный на скриптах Windows, открывает новую эру сетевых компьютерных вирусов-червей.

Обнаруженный вирус является первым известным вирусом, поражающим скрипты Windows. Он предельно прост - содержит всего чуть более 10 команд - и является, скорее всего, пробой пера одного из вирусописателей достаточно известной хакерской группы CodeBreakers. В вирусе присутствует ряд неточностей, моментально демаскирующих появление вируса в системе: при запуске вируса с удаленного Web-сервера с помощью броузера вирус заражает все файлы в кеше броузера и копирует их в Desktop компьютера (поскольку для броузера текущим каталогом является Desktop). При этом Desktop компьютера оказывается заполнен иконками зараженных скриптов - вирус размножается как кролик, что и послужило основанием для его имени: WinScript.Rabbit.

Несмотря на эти неточности и простоту своего кода вирус несет в себе потенциальную угрозу для всех пользователей Интернет. Базируясь на возможностях современных глобальных сетей, вирус имеет в своем распоряжении мощный механизм распространения. Не исключено, что скрипт-вирус Rabbit является первой ласточкой, по примеру которой будут созданы новые вирусы, использующие тот же принцип размножения. В будущем не исключено появление целой серии подобных вирусов, атакующих не только скрипт-файлы, но и другие элементы операционной системы Windows и даже Web-сервера.

Вирус работоспособен под всеми версиями Windows32 (Windows95/98/NT), если установлен Microsoft Scripting Host. В версиях Windows98 и NT 5.0 поддержка скриптов является стандартной функцией. В других версиях Windows и Windows NT обработка скриптов также возможна, если установлен специальный апдейт.

Для защиты от скрипт-вирусов Лаборатория Касперского рекомендует всем пользователям Windows95/98/NT установить встроенную в броузер защиту, см. Руководство Пользователя. Для различных типов броузеров данная защита включается различными способами, например:

Internet Explorer Windows98: View/Folder Options/File Types/VBScript Script File/Edit/Confirm open after download Netscape:
стандартная опция открытия скриптов отсутствует, скрипты открываются как обычные текстовые файлы и распространяться не способны.

Детектирование и удаление известных на сегодняшний день скрипт-вирусов включено в последний апдейт AntiViral Toolkit Pro (AVP). В ближайшем будущем также планируется выпуск специальной версии AVP Inspector for Web Server, детектирующей все изменения, произошедшие на страницах Web-серверов.

Лаборатория Касперского, тел. +7-(095)-948-4331 http://www.avp.ru http://www.avp.com