McAfee for Small Businesses

ウイルス情報 ウイルス名 W32/ExploreZip.worm.pak.b 危険度 低 対応定義ファイル 4057　（現在7077) 対応エンジン 4.0.25以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 Drvssrv.exe, ExploreZip.worm.137321, File_Zipputi.exe, TROJ_EXPLOZIP.IT, W32/Explorezip.worm.pak.IT, W32/ExploreZipG, Worm.ExploreZip.B, Worm.ExploreZip.Neolite.IT 亜種 亜種 発見日（米国日付） 99/12/09 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/15 ZeroAccess!5... 05/15 VBS/LoveLett... 05/15 RDN/Generic ... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7077  エンジン：5.4.00   ウイルス検索

先日告知したW32/ExploreZip.worm.pakの亜種W32/ExploreZip.worm.pak.b（別名：TROJ_EXPLOZIP.IT）につき、対応をお知らせします。今回の亜種は、W32/ExploreZip.worm.pakのメッセージやファイル名をイタリア語に翻訳したものです。なおこのウイルスの日本での被害報告は現時点ではありません（弊社調べ）

注：以下、青文字記載の部分は、W32/ExploreZip.worm.pakと今回の亜種との相違点です。

本ウイルスはMS Outlook, MS Outlook Express、MS ExchangeなどのMAPI対応電子メール・アプリケーションを呼び出そうとします。このウイルスは以下の内容が書かれた電子メールを送信します。

"Ho ricevuto la tua E-mail e rispondero al piu presto. Nel frattempo, leggi i doc allegati. Ciao!"

「件名」の部分は、一定ではありません。またメールにはウイルス（"file_zipputi.exe"）が添付されています（ファイルサイズ：137,321 バイト）。このファイルのアイコンはWinZipですが、これは本ウイルスを自己解凍ファイルにみせかけて、ユーザーを騙すためのものです。この添付ファイル（ウイルス）を実行した場合、以下の偽エラーメッセージが表示されます。

"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help." （訳：ファイルが開けません。正規のアーカイブではないようです。このファイルがZIP形式のバックアップセットの一部である場合は、バックアップセットの最終ディスクを挿入して、再試行してください。F1キーを押せばヘルプが表示されます。

このウイルスには発病があります。ウイルスを実行すると、その後すぐに、ローカルドライブすべてに対し、以下の拡張子のファイルを検索します。

.c	通常はCソースファイル
.cpp	通常はC++ソースファイル
.h	通常はインクルード・ファイル
.asm	通常はアセンブラ・ファイル
.doc	通常はワード・ファイル
.xls	通常はエクセル・ファイル
.ppt	通常はパワーポイント・ファイル

該当するファイルが見つかった場合は、そのファイルの内容を消去します。つまりそのファイルは0バイトに切りつめられます。

また、ウイルスを実行して、約30分が経過すると、システムに割り当てられているドライブ(mapped drive)すべてに対し、上記の拡張子のファイルを検索し、同様に上記の拡張子のファイルの内容を、消去します（0バイトに切りつめます）。