Jdi na obsah Jdi na menu
 

ExploreZIP (Win32:ExploreZIP)

 

 

Typ: červ
Varianty: MiniExploreZIP...
OS: Windows NT, Windows 9x
Zákeřnost: 4 z 5

Popis: ExploreZIP se v Česku začal šířit v červnu 1999. Worm posílá sebe sama jako přílohu elektronické pošty pod jménem "ZIPPED_FILES.EXE".Tento soubor je dlouhý přesně 210432 bytů. Předmět zprávy může být různý (je to odpověď na existující předchozí zprávu). Zpráva obsahuje následující anglický text:

Hi !
I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.

bye

Po spuštění zmíněného souboru se může objevit chybové okno s hlášením o neplatném archívu ZIP. Worm se pak zkopíruje do systémového adresáře Windows pod jménem EXPLORE.EXE a přidá jeden řádek do souboru WIN.INI, popř. do registry. To následně způsobí, že je worm aktivován při každém startu operačního systému. Worm pak získá e-mailové adresy z poštovního klienta (pomocí příkazu MAPI nebo z MS Outlook) a posílá sebe sama na další počítače. Worm je schopen vyhledávat instalace Windows i na dalších sdílených discích, a pokud takovou instalaci najde, umí se zkopírovat a změnit příslušný soubor WIN.INI. Napaden tak může být i uživatel, který worm v poště nedostal nebo připojený soubor nespustil, pokud poskytuje plná přístupová práva ke svým diskům někomu jinému.

Tento worm obsahuje velmi nepříjemnou manipulační rutinu - hledá na dostupných discích (a to i na síťových, popř. sdílených, pokud je na nich právo zápisu) soubory s rozšířením .C, .CPP, .H, .ASM, .DOC, .XLS a .PPT a ničí je tak, že je zkrátí na nulovou délku. To může způsobit nevratné ztráty dat!

Pro odstranění Win32:ExploreZIP je pod Windows 9x potřeba smazat soubor EXPLORE.EXE v systémovém adresáři Windows a před přebootováním odstranit následující řádek ze souboru WIN.INI:
run=C:\WINDOWS\SYSTEM\Explore.exe

Pro odstranění Win32:ExploreZIP je pod Windows NT potřeba ukončit proces se jménem "explore" pomocí WinNT Task Manageru. Potom pomocí programu REGEDIT najít položku [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] a před přebootováním odstranit následující klíč:
"run"="C:\WINNT\System32\Explore.exe"
Nakonec smažte soubor EXPLORE.EXE v systémovém adresáři Windows NT.

 

Komentáře

Přidat komentář

Přehled komentářů

How to fritter away Google

(DavidShogs, 13. 1. 2023 3:07)

That means you'll lead some supplemental features and suffer with access to additional channels where you can forward movement visibility, without having to make nous of some elaborate, vade-mecum migration process. https://googlec5.com

Odpovědět