ExploreZIP (Win32:ExploreZIP)
Typ: červ
Varianty: MiniExploreZIP...
OS: Windows NT, Windows 9x
Zákeřnost: 4 z 5
Popis: ExploreZIP se v Česku začal šířit v červnu 1999. Worm posílá sebe sama jako přílohu elektronické pošty pod jménem "ZIPPED_FILES.EXE".Tento soubor je dlouhý přesně 210432 bytů. Předmět zprávy může být různý (je to odpověď na existující předchozí zprávu). Zpráva obsahuje následující anglický text:
Hi !
I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.
bye
Po spuštění zmíněného souboru se může objevit chybové okno s hlášením o neplatném archívu ZIP. Worm se pak zkopíruje do systémového adresáře Windows pod jménem EXPLORE.EXE a přidá jeden řádek do souboru WIN.INI, popř. do registry. To následně způsobí, že je worm aktivován při každém startu operačního systému. Worm pak získá e-mailové adresy z poštovního klienta (pomocí příkazu MAPI nebo z MS Outlook) a posílá sebe sama na další počítače. Worm je schopen vyhledávat instalace Windows i na dalších sdílených discích, a pokud takovou instalaci najde, umí se zkopírovat a změnit příslušný soubor WIN.INI. Napaden tak může být i uživatel, který worm v poště nedostal nebo připojený soubor nespustil, pokud poskytuje plná přístupová práva ke svým diskům někomu jinému.
Tento worm obsahuje velmi nepříjemnou manipulační rutinu - hledá na dostupných discích (a to i na síťových, popř. sdílených, pokud je na nich právo zápisu) soubory s rozšířením .C, .CPP, .H, .ASM, .DOC, .XLS a .PPT a ničí je tak, že je zkrátí na nulovou délku. To může způsobit nevratné ztráty dat!
Pro odstranění Win32:ExploreZIP je pod Windows 9x potřeba smazat soubor EXPLORE.EXE v systémovém adresáři Windows a před přebootováním odstranit následující řádek ze souboru WIN.INI:
run=C:\WINDOWS\SYSTEM\Explore.exe
Pro odstranění Win32:ExploreZIP je pod Windows NT potřeba ukončit proces se jménem "explore" pomocí WinNT Task Manageru. Potom pomocí programu REGEDIT najít položku [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] a před přebootováním odstranit následující klíč:
"run"="C:\WINNT\System32\Explore.exe"
Nakonec smažte soubor EXPLORE.EXE v systémovém adresáři Windows NT.
Komentáře
Přehled komentářů
That means you'll lead some supplemental features and suffer with access to additional channels where you can forward movement visibility, without having to make nous of some elaborate, vade-mecum migration process. https://googlec5.com
How to fritter away Google
(DavidShogs, 13. 1. 2023 3:07)