ウイルス情報ウイルス情報| ウイルス名 | W32/ExploreZip.worm.pak.a
|
| 危険度 | 低 | | 対応定義ファイル | 4054 (現在7080) | | 対応エンジン | 4.0.35以降 (現在5.4.00)
エンジンバージョンの見分け方 | | 別名 | ExploreZip.worm.120495, MiniZip, TROJ_EXPZIPWMPAK, W32/ExploreZip.pak, W32/ExploreZipB, Worm.ExploreZip(pack) | | 発見日(米国日付) | 99/11/24 | |
|
|
新種ウイルスW32/ExploreZip.worm.pak(別名:MiniZip)への対応のお知らせ(99/12/1)
6月頃、世界で猛威をふるったウイルスW32/ExploreZip.wormの亜種につき、対応をお知らせします。このウイルスは、原種W32/ExploreZip.wormと同様に、ローカルドライブの主要ファイルすべてを削除するなど凶悪な発病を有しています。米国ではすでに被害報告が出ています。また日本でも同様に被害が報告されています(弊社調べ)
駆除プログラムダウンロード 発病画面 手動削除方法
ウイルス情報
|
このウイルスは、6月に報告されたW32/ExploreZip.wormの亜種です。原種との違いは、ウイルスによって届けられるファイル"zipped_files.exe"のサイズが、原種が210,432バイトであるのに対し、本亜種は120,495バイトであるという点です。 |
W32/ExploreZip.worm.pakは、電子メールを介して繁殖する32ビット・ウイルスです。explore.exe というファイルを落とし込み、またWIN.INI (Win9xの場合) あるいはレジストリ(WinNTの場合)を改変します。
本ウイルスはMS Outlook, MS Outlook Express、MS ExchangeなどのMAPI対応電子メール・アプリケーションを呼び出そうとします。このウイルスは以下の内容が書かれた電子メールを送信します。
| I received your email and I shall send you a reply ASAP.Till then, take a look at the attached zipped docs.
(訳:あなたの電子メールを受信しました。すぐに返信します。返事が届くまでの間は、添付してあるZIP圧縮文書をご覧ください)。
|
「件名」の部分は、一定ではありません。これはウイルス・メールが、感染ユーザーへ届いたメールへの「返信」として送付されるからです。またメールにはウイルス("zipped_files.exe")が添付されています(ファイルサイズ:120,495バイト。注:ExploreZip原種とはファイルサイズが異なります。ファイルが圧縮されているため)。のファイルのアイコンはWinZipですが、これは本ウイルスを自己解凍ファイルにみせかけて、ユーザーを騙すためのものです。この添付ファイル(ウイルス)を実行した場合、以下の偽エラーメッセージが表示されます。
|
"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help."
(訳:ファイルが開けません。正規のアーカイブではないようです。このファイルがZIP形式のバックアップセットの一部である場合は、バックアップセットの最終ディスクを挿入して、再試行してください。F1キーを押せばヘルプが表示されます。
|
このウイルスには発病があります。ウイルスを実行すると、その後すぐに、ローカルドライブすべてにつき、以下の拡張子のファイルを検索します。
| .c | 通常はCソースファイル |
| .cpp | 通常はC++ソースファイル |
| .h | 通常はインクルード・ファイル |
| .asm | 通常はアセンブラ・ファイル |
| .doc | 通常はワード・ファイル |
| .xls | 通常はエクセル・ファイル |
| .ppt | 通常はパワーポイント・ファイル |
該当するファイルが見つかった場合は、そのファイルを書き込みオープンして、すぐにクローズします。つまりそのファイルは0バイトに切りつめられます。この発病はウイルス感染の約30分後に繰り返されます。
このウイルスは、MPR.DLLと「ネットワーク全体」の機能を使って、システムドライブを特定します。こうしたシステムでは、WIN.INIのRUN行が、Windowsパスから_SETUP.EXEというファイルを呼び出すよう、改変されます。そして_SETUP.EXEファイルがWindowsパスへコピーされます。。_SETUP.EXEがコピーされたマシンは次回起動時にはこのウイルスに感染することになります。
対処方法
| エンジンバージョン4以上の場合 |
| v.4.0.25以降のエンジンに、最新のDATファイル(4054以降)を組み合わせれば検出と駆除が可能です。 注: | エンジンバージョンv.4.0.25:VirusScan 3x 4.0.2bVirusScan 9x 4.0.3VirusScan NT 4.0.3bNetshield NT 4.0.3b NetShield for NetWare 4.1.0Groupshield Exchange 4.0.3Groupshield Notes 4.0.2WebShield SMTP 4.0.3.1WebShieldX Proxy 4.0.3 | 検出と駆除が可能 | | エンジンバージョンv4.0.02 | 検出が可能 |
エンジンバージョンの見分け方DATファイルのダウンロード |
* Ver3 DATでは対応していません。
