製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:E
ウイルス情報
ウイルス情報

ウイルス名
W32/ExploreZip.worm.pak.a
危険度
対応定義ファイル4054 (現在7600)
対応エンジン4.0.35以降 (現在5600) 
エンジンバージョンの見分け方
別名ExploreZip.worm.120495, MiniZip, TROJ_EXPZIPWMPAK, W32/ExploreZip.pak, W32/ExploreZipB, Worm.ExploreZip(pack)
発見日(米国日付)99/11/24
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/22Generic Down...
10/22Generic Down...
10/22FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7600
 エンジン:5600
 
ウイルス検索
 




新種ウイルスW32/ExploreZip.worm.pak(別名:MiniZip)への対応のお知らせ(99/12/1)

6月頃、世界で猛威をふるったウイルスW32/ExploreZip.wormの亜種につき、対応をお知らせします。このウイルスは、原種W32/ExploreZip.wormと同様に、ローカルドライブの主要ファイルすべてを削除するなど凶悪な発病を有しています。米国ではすでに被害報告が出ています。また日本でも同様に被害が報告されています(弊社調べ)

駆除プログラムダウンロード 発病画面 手動削除方法 


ウイルス情報

このウイルスは、6月に報告されたW32/ExploreZip.wormの亜種です。原種との違いは、ウイルスによって届けられるファイル"zipped_files.exe"のサイズが、原種が210,432バイトであるのに対し、本亜種は120,495バイトであるという点です。


W32/ExploreZip.worm.pakは、電子メールを介して繁殖する32ビット・ウイルスです。explore.exe というファイルを落とし込み、またWIN.INI (Win9xの場合) あるいはレジストリ(WinNTの場合)を改変します。

本ウイルスはMS Outlook, MS Outlook Express、MS ExchangeなどのMAPI対応電子メール・アプリケーションを呼び出そうとします。このウイルスは以下の内容が書かれた電子メールを送信します。

I received your email and I shall send you a reply ASAP.Till then, take a look at the attached zipped docs.

(訳:あなたの電子メールを受信しました。すぐに返信します。返事が届くまでの間は、添付してあるZIP圧縮文書をご覧ください)。

「件名」の部分は、一定ではありません。これはウイルス・メールが、感染ユーザーへ届いたメールへの「返信」として送付されるからです。またメールにはウイルス("zipped_files.exe")が添付されています(ファイルサイズ:120,495バイト。注:ExploreZip原種とはファイルサイズが異なります。ファイルが圧縮されているため)。のファイルのアイコンはWinZipですが、これは本ウイルスを自己解凍ファイルにみせかけて、ユーザーを騙すためのものです。この添付ファイル(ウイルス)を実行した場合、以下の偽エラーメッセージが表示されます。

"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help."

(訳:ファイルが開けません。正規のアーカイブではないようです。このファイルがZIP形式のバックアップセットの一部である場合は、バックアップセットの最終ディスクを挿入して、再試行してください。F1キーを押せばヘルプが表示されます。

このウイルスには発病があります。ウイルスを実行すると、その後すぐに、ローカルドライブすべてにつき、以下の拡張子のファイルを検索します。

.c 通常はCソースファイル
.cpp 通常はC++ソースファイル
.h 通常はインクルード・ファイル
.asm 通常はアセンブラ・ファイル
.doc 通常はワード・ファイル
.xls 通常はエクセル・ファイル
.ppt 通常はパワーポイント・ファイル

該当するファイルが見つかった場合は、そのファイルを書き込みオープンして、すぐにクローズします。つまりそのファイルは0バイトに切りつめられます。この発病はウイルス感染の約30分後に繰り返されます。

このウイルスは、MPR.DLLと「ネットワーク全体」の機能を使って、システムドライブを特定します。こうしたシステムでは、WIN.INIのRUN行が、Windowsパスから_SETUP.EXEというファイルを呼び出すよう、改変されます。そして_SETUP.EXEファイルがWindowsパスへコピーされます。。_SETUP.EXEがコピーされたマシンは次回起動時にはこのウイルスに感染することになります。

対処方法

エンジンバージョン4以上の場合
v.4.0.25以降のエンジンに、最新のDATファイル(4054以降)を組み合わせれば検出と駆除が可能です。

注:
エンジンバージョンv.4.0.25:

  • VirusScan 3x 4.0.2b
  • VirusScan 9x 4.0.3
  • VirusScan NT 4.0.3b
  • Netshield NT 4.0.3b
  • NetShield for NetWare 4.1.0
  • Groupshield Exchange 4.0.3
  • Groupshield Notes 4.0.2
  • WebShield SMTP 4.0.3.1
  • WebShieldX Proxy 4.0.3
  • 検出と駆除が可能
    エンジンバージョンv4.0.02検出が可能

    エンジンバージョンの見分け方

    DATファイルのダウンロード

    * Ver3 DATでは対応していません。