ウイルス情報

ウイルス名

W32/ExploreZip.worm.pak.b

危険度
対応定義ファイル 4057 (現在7628)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 Drvssrv.exe, ExploreZip.worm.137321, File_Zipputi.exe, TROJ_EXPLOZIP.IT, W32/Explorezip.worm.pak.IT, W32/ExploreZipG, Worm.ExploreZip.B, Worm.ExploreZip.Neolite.IT
亜種 亜種
発見日(米国日付) 99/12/09


新種ウイルスW32/ExploreZip.worm.pak.bへの対応のお知らせ(99/12/15)

先日告知したW32/ExploreZip.worm.pakの亜種W32/ExploreZip.worm.pak.b(別名:TROJ_EXPLOZIP.IT)につき、対応をお知らせします。今回の亜種は、W32/ExploreZip.worm.pakのメッセージやファイル名をイタリア語に翻訳したものです。なおこのウイルスの日本での被害報告は現時点ではありません(弊社調べ)

注:以下、青文字記載の部分は、W32/ExploreZip.worm.pakと今回の亜種との相違点です。


これは1999年に蔓延した W32/ExploreZip.worm の2つめの亜種です。もうひとつの亜種"W32/ExploreZip.worm.pak"との違いは、イタリア語に“翻訳”されていることです。この亜種ウイルスは、"APLib"という圧縮ツールで圧縮されています。APLib と Neolite は、圧縮アルゴリズムが異なっています。

本ウイルスはMS Outlook, MS Outlook Express、MS ExchangeなどのMAPI対応電子メール・アプリケーションを呼び出そうとします。このウイルスは以下の内容が書かれた電子メールを送信します。

"Ho ricevuto la tua E-mail e rispondero al piu presto. Nel frattempo, leggi i doc allegati. Ciao!"

「件名」の部分は、一定ではありません。またメールにはウイルス("file_zipputi.exe")が添付されています(ファイルサイズ:137,321 バイト)。このファイルのアイコンはWinZipですが、これは本ウイルスを自己解凍ファイルにみせかけて、ユーザーを騙すためのものです。この添付ファイル(ウイルス)を実行した場合、以下の偽エラーメッセージが表示されます。

"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help."

(訳:ファイルが開けません。正規のアーカイブではないようです。このファイルがZIP形式のバックアップセットの一部である場合は、バックアップセットの最終ディスクを挿入して、再試行してください。F1キーを押せばヘルプが表示されます。

このウイルスには発病があります。ウイルスを実行すると、その後すぐに、ローカルドライブすべてに対し、以下の拡張子のファイルを検索します。

.c通常はCソースファイル
.cpp通常はC++ソースファイル
.h通常はインクルード・ファイル
.asm通常はアセンブラ・ファイル
.doc通常はワード・ファイル
.xls通常はエクセル・ファイル
.ppt 通常はパワーポイント・ファイル

該当するファイルが見つかった場合は、そのファイルの内容を消去します。つまりそのファイルは0バイトに切りつめられます。


また、ウイルスを実行して、約30分が経過すると、システムに割り当てられているドライブ(mapped drive)すべてに対し、上記の拡張子のファイルを検索し、同様に上記の拡張子のファイルの内容を、消去します(0バイトに切りつめます)。


対処方法

エンジンバージョン4以上の場合
v.4.0.25以降のエンジンに、最新のDATファイルとExtra.datを組み合わせれば検出と駆除が可能です。正式DATでは4057より対応いたします。

注:

エンジンバージョンv.4.0.25:

  • VirusScan 3x 4.0.2b
  • VirusScan 9x 4.0.3
  • VirusScan NT 4.0.3b
  • Netshield NT 4.0.3b
  • NetShield for NetWare 4.1.0
  • Groupshield Exchange 4.0.3
  • Groupshield Notes 4.0.2
  • WebShield SMTP 4.0.3.1
  • WebShieldX Proxy 4.0.3
  • 検出と駆除が可能
    エンジンバージョンv4.0.02検出が可能

    エンジンバージョンの見分け方

    DATファイルのダウンロード
    Extra.DATのダウンロード

    * Ver3 DATでは対応していません。