fz-Home




Sicherheit im Web
Antivirus
sog. E-Mail-Viren (Hoaxes)


Software
Java / JS
Microsoft
Win 32
Win 3.1x
macOS
Unix
Amiga
OS/2, Atari, NeXT,...
   

© Frank Ziemann  –  Update: 02.09.2009


Extra-Blatt

Internet-Wurm ExploreZip

Wieder ein Wurm, der E-Mails verschickt

Die Antivirus-Firmen Symantec (Norton Antivirus), Network Associates (McAfee/Dr.Solomon's VirusScan), AVP (AntiViral toolkit Pro) und DataFellows (F-Prot, F-Secure) berichten von einem Wurm, der aktuell (10.06.1999) im Umlauf ist.
Er wird ExploreZip (Alias: Worm.ExplorerZip; W32/ExplorerZip.Worm; I-Worm.ZippedFiles; Zipped_Files) genannt.

Zusammenfassung der vorliegenden Informationen:

Der Wurm verbreitet sich per E-Mail. Sie erhalten ggf. eine Mail mit dem Text:

Hi [Ihr_Name]!
I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.
bye

Die Mail enthält ein Attachment (Anhang) mit dem Namen zipped_files.exe (ca. 210 KB). Wird dieses ausgeführt, erscheint eine (getürkte) Fehlermeldung:

ExploreZip-Fehlermeldung

Der Wurm kopiert sich in das Windows-System-Verzeichnis (typischerweise: c:\windows\system\) mit dem Dateinamen explore.exe und fügt in der win.ini folgende Zeile ein:

run=C:\WINDOWS\SYSTEM\Explore.exe

Unter Windows NT modifiziert er die Registry:

HKEY_CURRENT_USER\software\microsoft\WindowsNT\currentVersion\Windows\Run 'c:\winnt\system32\Explore.exe'

Dadurch wird er bei jedem Windows-Start geladen und bleibt resident im Speicher.

Er durchsucht die lokale Festplatte und Netzlaufwerke nach Dateien bestimmten Typs:

  *.cC-Quellcode
  *.cppC++-Quellcode
  *.hProgramm-Quellcode Headerdateien
  *.asmAssembler-Quellcode
  *.docMS Word Dokumente
  *.xlsMS Excel Tabellen
  *.pptMS PowerPoint Dateien

und löscht diese. Dabei werden die Dateien zunächst mit Nullen überschrieben und ihre Größe dann auf 0 Byte gesetzt. Eine Wiederherstellung der Dateien ist also mit den üblichen 'Undelete'-Methoden nicht möglich (da hilft nur ein Backup).
ExploreZip benutzt MAPI-konforme E-Mail-Programme (z.B. Outlook), um sich an Personen weiterzuverbreiten, die dem aktuellen Opfer gerade geschrieben haben. Diese erhalten dann o.g. Mail mit dem 'verwurmten' Attachment.

Um den Wurm wieder loszuwerden, gehen Sie wie folgt vor:
Drücken Sie einmal [Strg]+[Alt]+[Entf] und aktivieren Sie den Task-Manager, beenden Sie damit alle laufenden Anwendungen/Prozesse, deren Name Zipped_files, Explore oder _setup ist.
Öffnen Sie die Datei win.ini im Windows-Verzeichnis mit einem Editor (z.B. Notepad) und löschen Sie die o.g. Zeile (bzw. entfernen Sie unter NT mit regedit den o.g. Eintrag in der Registrierdatenbank).
Starten Sie den Rechner neu und löschen Sie nun die Datei, die in dieser Zeile angegeben war, also unter Windows 9x c:\windows\system\explore.exe (nicht explorer.exe im Windows-Verzeichnis!). Löschen Sie die Mail(s) mit dem Wurm und alle Kopien des Attachments. Fertig.

Es wird davon ausgegangen, daß dieser Wurm sich verbreiten und einigen Schaden anrichten wird.
Es wurden bereits Exemplare in 'freier Wildbahn' gemeldet. Mailserver mehrerer größerer Unternehmen sind bereits betroffen, auch in Deutschland.

Hier die Original-Quellen (dort gibt es auch die Updates):


zurück zur Hoax-Seite