«Novarg» поширюється інтернетом двома способами: через електронну пошту і файлообмінні мережі KaZaА. Хробак приходить в електронних листах з темою «test» чи «status», у вкладених файлах з розширеннями exe, .scr, .zip чи .pif.

Заражені електронні листи мають довільну фальсифіковану адреса відправника, 8 варіантів рядка тема, 4 варіанти тексту листа, 18 можливих назв і 5 варіантів розширень вкладених файлів. Більше того, з визначеною імовірністю хробак поширюється в листах з безглуздим набором випадкових символів у темі листа, тексті листа й імені вкладення.

Якщо користувач мав необережність запустити заражений файл, надісланий електронною поштою чи завантажений з мережі KaZaА, то хробак починає процедуру впровадження на комп’ютер і подальше поширення.

Відразу ж після запуску «Novarg» створює в директорії Windows два файли під іменами TASKMON.EXE (файл-носій хробака) і SHIMGAPI.DLL (троянський компонент для віддаленого керування комп’ютером) і реєструє їх у ключі автозапуску системного реєстру для забезпечення активації шкідливої програми при кожному наступному завантаженні комп’ютера.

Найкращий захист — знищити підозрілий лист. Про всяк випадок перевірте, чи немає в директорії Windows\System файлів TASKMON.EXE і SHIMGAPI.DLL. Якщо є — перезавантажте комп’ютер у режимі “Тільки команди” і видаліть згадані файли.