ウイルス情報

ウイルス名

W32/ExploreZip.worm

新種ウイルスW32/ExploreZip.wormへの対応のお知らせ(99/06/11)

駆除プログラムダウンロード 発病画面 手動削除方法 よく寄せられる質問

VirusScanや駆除プログラムを使えば、このウイルスを検出、駆除できますが、しかしウイルスに消去されたファイルを復旧することはできません。ですので、添付ファイル付きの出所不明メールは届き次第すぐに削除してください。それがこのウイルスの被害を防ぐ基本原則です。


更新履歴: ここをクリック
はじめに

W32/ExploreZip.wormという新種ウイルスが世界各地で報告されています。電子メールメッセージの送付を通じて繁殖するウイルスです。explore.exeというファイルを落とし込み、WIN.INI(Win9xの場合)あるいはレジストリ(Win NTの場合)を改変します。なお本ウイルスは日本でも既に被害が報告されています(弊社調べ)


ウイルス情報

発病画面(本ウイルスの感染と被害をビジュアルでご理解いただけます。

本ウイルスはMS Outlook, MS Outlook Express、MS ExchangeなどのMAPI対応電子メール・アプリケーションを呼び出そうとします。このウイルスは以下の内容が書かれた電子メールを送信します。

I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.

(訳:あなたの電子メールを受信しました。すぐに返信します。返事が届くまでの間は、添付してあるZIP圧縮文書をご覧ください)。

「件名」の部分は、一定ではありません。またメールにはウイルス("zipped_files.exe")が添付されています(ファイルサイズ:210,432バイト)。このファイルのアイコンはWinZipですが、これは本ウイルスを自己解凍ファイルにみせかけて、ユーザーを騙すためのものです。この添付ファイル(ウイルス)を実行した場合、以下の偽エラーメッセージが表示されます。

"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help."

(訳:ファイルが開けません。正規のアーカイブではないようです。このファイルがZIP形式のバックアップセットの一部である場合は、バックアップセットの最終ディスクを挿入して、再試行してください。F1キーを押せばヘルプが表示されます。

このウイルスには発病があります。ウイルスを実行すると、その後すぐに、ローカルドライブすべてに対し、以下の拡張子のファイルを検索します。

.c通常はCソースファイル
.cpp通常はC++ソースファイル
.h通常はインクルード・ファイル
.asm通常はアセンブラ・ファイル
.doc通常はワード・ファイル
.xls通常はエクセル・ファイル
.ppt 通常はパワーポイント・ファイル

該当するファイルが見つかった場合は、そのファイルの内容を消去します。つまりそのファイルは0バイトに切りつめられます。


また、ウイルスを実行して、約30分が経過すると、システムに割り当てられているドライブ(mapped drive)すべてに対し、上記の拡張子のファイルを検索し、同様に上記の拡張子のファイルの内容を、消去します(0バイトに切りつめます)。

また、本ウイルスは、システム・ドライブを検索します(システムに割り当てられたネットワーク・ドライブ)。こうしたシステムでは、WIN.INIのRUN行が、Windowsパスから_SETUP.EXEというファイルを呼び出すよう、改変されます。そして、_SETUP.EXEというファイルがWindowsパスにコピーされます。_SETUP.EXEがコピーされたマシンは次回起動時にはこのウイルスに感染することになります。

発見日99/6/9(米国日付)
正式DATへの統合DAT4030
種別ウイルス
危険度


検出方法

エンジン・バージョン4以上の場合
最新のDATファイル(DAT4030以上)を使えば検出が可能です。

DATファイルダウンロード

エンジン・バージョン3.2.0以上の場合(含む:リテール版ウイルススキャン)
最新のDATファイル(DAT3206以上)を使えば検出が可能です。

DATファイルダウンロード

エンジン・バージョンの見分け方



検出、駆除プログラムのダウンロード



手動による削除方法


ウイルスとは?

    ウイルスは、他に感染(自己複製)します。マクロウイルスであれば、Word、Excelに、ファイル型ウイルスであれば、他のファイルに、自分自身をコピーして付与します。つまり、ウイルスには必ず宿主があります。

    しかし、ウイルスの場合は、宿主を持ちません。自分自身で自分を他に送り届けます。




更新履歴

    6/17更新 駆除プログラム使用例に、「ウイルスを駆除した場合の画面」を追加しました。
    ウイルス・メール画面およびファイル消去の画面を追加しました。
    6/16更新 本ウイルスはネットワークドライブを介しても感染することが判明しました。これに併せて駆除プログラム、Killbot.exeをKilleZip.Exeにバージョンアップしました。改善点は以下のとおりです。
    • メモリ内のZIPPED_FILE.EXE, _SETUP.EXE, EXPLORE.EXEをすべて停止可能。
    • WIN.INI(レジストリ)修復につき、ZIPPED_FILE.EXE, _SETUP.EXE, EXPLORE.EXEのすべての記述を削除
    • すべてのローカルドライブを検索し、ZIPPED_FILE.EXEファイルが見つかった場合は、これを削除
    • 、\windows, \windows\system, \my documents, およびシステム\temp変数に割り当てられているフォルダにつき、ZIPPED_FILE.EXE, _SETUP.EXE, EXPLORE.EXEファイルが見つかった場合はこれを削除。
    • 注:メールソフトの仕様によっては、ZIPPED_FILE.EXEが一時フォルダに保存される可能性があるので、このファイルも削除対象に加えました。
    6/15更新 駆除プログラムKillBot.exeのダウンロードを開始しました。
    6/14更新 削除方法をさらに詳細に述べました。ウイルス発病の欄につき情報を更新しました。