© Frank Ziemann – Update: 02.09.2009
Extra-Blatt
Internet-Wurm ExploreZip
Wieder ein Wurm, der E-Mails verschickt
Die Antivirus-Firmen Symantec (Norton Antivirus), Network Associates (McAfee/Dr.Solomon's VirusScan),
AVP (AntiViral toolkit Pro) und DataFellows (F-Prot, F-Secure) berichten von einem Wurm, der aktuell
(10.06.1999) im Umlauf ist.
Er wird ExploreZip (Alias: Worm.ExplorerZip; W32/ExplorerZip.Worm; I-Worm.ZippedFiles; Zipped_Files) genannt.
Zusammenfassung der vorliegenden Informationen:
Der Wurm verbreitet sich per E-Mail. Sie erhalten ggf. eine Mail mit dem Text:
Hi [Ihr_Name]!
I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.
bye
Die Mail enthält ein Attachment (Anhang) mit dem Namen zipped_files.exe (ca. 210 KB). Wird dieses ausgeführt, erscheint eine (getürkte) Fehlermeldung:
Der Wurm kopiert sich in das Windows-System-Verzeichnis (typischerweise: c:\windows\system\) mit dem Dateinamen explore.exe und fügt in der win.ini folgende Zeile ein:
run=C:\WINDOWS\SYSTEM\Explore.exeUnter Windows NT modifiziert er die Registry:
HKEY_CURRENT_USER\software\microsoft\WindowsNT\currentVersion\Windows\Run 'c:\winnt\system32\Explore.exe'Dadurch wird er bei jedem Windows-Start geladen und bleibt resident im Speicher.
Er durchsucht die lokale Festplatte und Netzlaufwerke nach Dateien bestimmten Typs:
| *.c | C-Quellcode |
| *.cpp | C++-Quellcode |
| *.h | Programm-Quellcode Headerdateien |
| *.asm | Assembler-Quellcode |
| *.doc | MS Word Dokumente |
| *.xls | MS Excel Tabellen |
| *.ppt | MS PowerPoint Dateien |
und löscht diese. Dabei werden die Dateien zunächst mit Nullen überschrieben und ihre Größe dann
auf 0 Byte gesetzt. Eine Wiederherstellung der Dateien ist
also mit den üblichen 'Undelete'-Methoden nicht möglich (da hilft nur ein Backup).
ExploreZip benutzt MAPI-konforme E-Mail-Programme (z.B. Outlook), um sich an Personen
weiterzuverbreiten, die dem aktuellen Opfer gerade geschrieben haben. Diese erhalten dann o.g. Mail
mit dem 'verwurmten' Attachment.
Um den Wurm wieder loszuwerden, gehen Sie wie folgt vor:
Drücken Sie einmal [Strg]+[Alt]+[Entf] und aktivieren Sie den Task-Manager, beenden Sie damit alle
laufenden Anwendungen/Prozesse, deren Name Zipped_files,
Explore oder _setup ist.
Öffnen Sie die Datei win.ini im Windows-Verzeichnis mit einem Editor
(z.B. Notepad) und löschen Sie die o.g. Zeile (bzw. entfernen Sie unter NT mit regedit den o.g. Eintrag
in der Registrierdatenbank).
Starten Sie den Rechner neu und löschen Sie nun die Datei, die in dieser Zeile angegeben war,
also unter Windows 9x c:\windows\system\explore.exe (nicht
explorer.exe im
Windows-Verzeichnis!). Löschen Sie die Mail(s) mit dem Wurm und alle Kopien des Attachments. Fertig.
Es wird davon ausgegangen, daß dieser Wurm sich verbreiten und einigen Schaden anrichten wird.
Es wurden bereits Exemplare in 'freier Wildbahn' gemeldet. Mailserver mehrerer größerer Unternehmen
sind bereits betroffen, auch in Deutschland.
Hier die Original-Quellen (dort gibt es auch die Updates):
zurück zur Hoax-Seite