W32/ExploreZipに関する情報

1999年 6月17日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)

海外で、自分自身を返信メールの添付ファイルで送るウイルスによる被害が急増してます。
このウイルスは、受け取ったメールに対し、自動的に自分自身を添付した返信メールを出します。また、このファイルはWinZip のアイコンになっており、あたかも自己解凍ファイルであるかのように見せかけています。
　国内では、まだ大きな感染被害は出ていませんが、海外からウイルスが返信メールに添付されてくることが十分考えられますので、 注意して下さい。

(1)注意事項

(2)概要

　W32/ExploreZipはワームの一種である。このウイルスは、通常、電子メールの返信メールの添付ファイルとして拡がっていく。また、ネットワークを介しても拡がっていく。この"zipped_files.exe"というファイルを実行すると、"Cannot　Open　file　･･･"という偽のエラーメッセージを表示し、実行されたマシンの全てのハードディスクを検索して、次の拡張子のファイルのサイズを０バイトにする。（隠しファイル、読みとり専用のファイルは破壊されない。）

　　　　　｢.doc｣、｢.xls｣、｢.ppt｣、｢.asm｣、｢.c｣、｢.cpp｣、｢.h」

次に、Windowsが起動されるたびに、ウイルスが実行されるように環境を設定する。
・Windows95/98の場合（Windowsが、c:\windowsにインストールされている場合）
　c:\windows\systemディレクトリに、"Explore.exe"というファイルを作成し、win.iniを書き換える。

･WindowsNTの場合（Windowsが、c:\Winntにインストールされている場合）
　c:\Winnt\system32ディレクトリに、"Explore.exe"というファイルを作成し、レジストリを書き換える。

　そして、当該マシンとネットワーク上に共有されている全てのマシンを検索し、上記の７種類の拡張子のファイルのサイズを０にする。
　さらに、Windowsがインストールされているドライブがネットワーク上で共有されていると、そのマシンで、Windowsを起動したときにウイルスが実行されるように、ウイルスをコピーし、win.iniファイルを書き換えられることがある。
　インストールされているメーラー（※）によっては、感染以降受信したメールにたいして、下記本文のメールにzipped_files.exeファイルを添付して返信する。（※現在確認がとれているのは、マイクロソフト社のOutlook。）

　　Hi［受信者の名前］!
　　I　received　your　email　and　I　shall　send　you　a　reply　ASAP
　　Till　then　,take　a　look　at　the　attached　zipped　docs.　
　　Bye.

(3)感染確認方法

・Windows95/98の場合
　c:\windows\systemディレクトリに、"Explore.exe"、または、c:\windowsディレクトリに"_setup.exe"というファイルがある。

･WindowsNTの場合
　c:\Winnt\system32ディレクトリに、"Explore.exe"、または、c:\Winntディレクトリに"_setup.exe"というファイルがある。

(4)修復方法

注）win.iniファイル、レジストリを修正する場合は、少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意すること。

･Windows95/98の場合
　１．メモ帳等で、win.iniファイルを開き、以下の記述を削除して上書き保存する。
　　　run=c:\windows\system\Explore.exeまたは、run=_setup.exe
　２．Windowsを再起動する。
　３．c:\windows\systemディレクトリにある"Explore.exe"、または、c:\windowsディレクトリにある"_setup.exe"を削除する。

･WindowsNTの場合
　１．regeditを起動して、以下のレジストリの"run"の値で、"Explore.exe"に関するデータを削除する。
　　　HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\Windows
　２．Windowsを再起動する。
　３．c:\Winnt\system32ディレクトリにある、"Explore.exe"、または、c:\Winntディレクトリにある"_setup.exe"を削除する。

※修復した後は、必ず専用のワクチンソフトで、感染がなくなったことを確認すること。

●下記サイトにも情報が掲載されているので、参照して下さい。

• http://www.caj.co.jp/tec/tec_n/f_ilwin95zippedfiles.htm
• http://www.f-secure.co.jp/v-descs/v-descs/zipped.htm
• http://www.jcsa.or.jp/vi-expzip.html
• http://www.nai.com/japan/virusinfo/virE.asp?v=W32/ExploreZip.worm&a=E
• http://www.symantec.com/region/jp/sarcj/data/w/worm.explorezip.html
• http://inet.trendmicro.co.jp/contents/virusency/default3.asp?VName=TROJ_EXPLOREZIP

　　　　　　ウイルス対策のトップページはこちらをご覧ください。