ISEC

W32/ExploreZipに関する情報

1999年 6月17日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)


海外で、自分自身を返信メールの添付ファイルで送るウイルスによる被害が急増してます。
このウイルスは、受け取ったメールに対し、自動的に自分自身を添付した返信メールを出します。また、このファイルはWinZip のアイコンになっており、あたかも自己解凍ファイルであるかのように見せかけています。
 国内では、まだ大きな感染被害は出ていませんが、海外からウイルスが返信メールに添付されてくることが十分考えられますので、 注意して下さい。

(1)注意事項

・たとえよく知っている相手からの返信メールであったとしても、zipped_files.exe というファイルが添付されている場合は、実行することなく、速やかに削除して下さい。

・相手が気づいていない場合があるので、ウイルス感染の可能性がある旨連絡して下さい。

・ネットワーク上にファイル共有しているマシンがある場合は、感染被害が拡大するので、ネットワーク上の全てのマシンで、ウイルス検査を行って下さい。また、ワクチンソフトのウイルス定義ファイルは、各ワクチンベンダーのWebサイトを参照して、このウイルスに対応しているものに更新して下さい。

参照:主なワクチンベンダーのWebサイト等一覧

(2)概要

 W32/ExploreZipはワームの一種である。このウイルスは、通常、電子メールの返信メールの添付ファイルとして拡がっていく。また、ネットワークを介しても拡がっていく。この"zipped_files.exe"というファイルを実行すると、"Cannot Open file ・・・"という偽のエラーメッセージを表示し、実行されたマシンの全てのハードディスクを検索して、次の拡張子のファイルのサイズを0バイトにする。(隠しファイル、読みとり専用のファイルは破壊されない。)

     「.doc」、「.xls」、「.ppt」、「.asm」、「.c」、「.cpp」、「.h」

次に、Windowsが起動されるたびに、ウイルスが実行されるように環境を設定する。
・Windows95/98の場合(Windowsが、c:\windowsにインストールされている場合)
 c:\windows\systemディレクトリに、"Explore.exe"というファイルを作成し、win.iniを書き換える。

・WindowsNTの場合(Windowsが、c:\Winntにインストールされている場合)
 c:\Winnt\system32ディレクトリに、"Explore.exe"というファイルを作成し、レジストリを書き換える。

 そして、当該マシンとネットワーク上に共有されている全てのマシンを検索し、上記の7種類の拡張子のファイルのサイズを0にする。
 さらに、Windowsがインストールされているドライブがネットワーク上で共有されていると、そのマシンで、Windowsを起動したときにウイルスが実行されるように、ウイルスをコピーし、win.iniファイルを書き換えられることがある。
 インストールされているメーラー(※)によっては、感染以降受信したメールにたいして、下記本文のメールにzipped_files.exeファイルを添付して返信する。(※現在確認がとれているのは、マイクロソフト社のOutlook。)

  Hi[受信者の名前]!
  I received your email and I shall send you a reply ASAP
  Till then ,take a look at the attached zipped docs. 
  Bye.

(3)感染確認方法

・Windows95/98の場合
 c:\windows\systemディレクトリに、"Explore.exe"、または、c:\windowsディレクトリに"_setup.exe"というファイルがある。

・WindowsNTの場合
 c:\Winnt\system32ディレクトリに、"Explore.exe"、または、c:\Winntディレクトリに"_setup.exe"というファイルがある。

(4)修復方法

注)win.iniファイル、レジストリを修正する場合は、少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意すること。

・Windows95/98の場合
 1.メモ帳等で、win.iniファイルを開き、以下の記述を削除して上書き保存する。
   run=c:\windows\system\Explore.exeまたは、run=_setup.exe
 2.Windowsを再起動する。
 3.c:\windows\systemディレクトリにある"Explore.exe"、または、c:\windowsディレクトリにある"_setup.exe"を削除する。

・WindowsNTの場合
 1.regeditを起動して、以下のレジストリの"run"の値で、"Explore.exe"に関するデータを削除する。
   HKEY_CURRENT_USER\Software\Microsoft\WindowsCurrentVersion\Windows
 2.Windowsを再起動する。
 3.c:\Winnt\system32ディレクトリにある、"Explore.exe"、または、c:\Winntディレクトリにある"_setup.exe"を削除する。

※修復した後は、必ず専用のワクチンソフトで、感染がなくなったことを確認すること。


●下記サイトにも情報が掲載されているので、参照して下さい。


      ウイルス対策のトップページこちらをご覧ください。