Vírus Híradó - Vírusleírás: ExploreZip





	név / család / csoport		ExploreZip



	névváltozatok		-



	származás		-



	méret		-



	típus		Féreg



	terjedés		email melléklet



	büntető rutin		A levélláncként történő terjedésen túl a vírus megpróbálja felülírni a felhasználó dokumentumait az összes elérhető meghajtón (a hálózati meghajtókat is beleértve). Ha a felhasználó nem Microsoft Outlook levelezőt használ, a ZippedFiles nem terjed tovább, a felhasználó dokumentumait azonban ekkor is megsemmisíti.



	mentesíthetőség		Igen



	variánsok		-



	platform		Windows 9x, Windows NT



	felfedezve		1999-12-01



	eltávolítás		-



	megjegyzés		-

Finnország, Espoo, 1999. december 1.

A Data Fellows, a központilag vezérelt biztonsági megoldásokban vezető cég ma az ExploreZip (vagy ZippedFiles) nevű féreg új változatának felfedezéséről számolt be. A féreg több Fortune 500 céget, és számos kisebb vállalatot is megfertőzött az Egyesült Államokban a keddi munkanap folyamán. A féreg levélláncként terjed, és romboló részt is tartalmaz. A Data Fellows már Európában, Amerikában és Ázsiában is találkozott fertőzött gépekkel. A vírus akár órákon belül is elterjedhet világszerte.

A féreg W32/ExploreZip.worm.pak néven ismert. A Data Fellows víruskutatói szerint az eredeti vírust fele méretűre tömörítették. Ez a legtöbb, nem rendszeresen frissített víruskereső számára felismerhetetlenné tette.

A féreg email mellékletként érkezik. Megnyitásakor aktivizálódik, és ettől kezdve automatikusan válaszokat küld a beérkező üzenetekre, azt a látszatot keltve, mintha a felhasználó személyesen válaszolt volna. Ezen kívül, amint egy gép megfertőződik, további Windows munkaállomásokat keres a helyi hálózaton. Amennyiben megosztott könyvtárakat talál egy gépen, megpróbálja azt a hálózaton keresztül megfertőzni.

Ha például John Doe egy levelet küldött Jane Smithnek, a levél tárgya pedig "Please check these numbers" volt, akkor Jane fertőzött gépe automatikusan válaszol Johnnak, a levél címe pedig "RE: Please check these numbers" lesz. Az automatikus válaszlevél tartalma a következő:



	From: John Doe To: Jane Smith Subject: RE: Please check these numbers Hi Jane I have received your email and I shall send you a reply ASAP. Till then take a look at the attached zipped docs. Sincerely John. Attachment: zipped_files.exe

Magyarul:



	Feladó: John Doe Címzett: Jane Smith Tárgy: Vá: Kérlek nézd át ezeket az adatokat Szia Jane Megkaptam a leveledet, és amint lehetséges, válaszolni fogok. Addig is kérlek, hogy vess egy pillantást a mellékelt zippelt dokumentumokra. Üdvözöl, John. Melléklet: zipped_files.exe

A melléklet WinZip archívumnak tűnik, de amikor a felhasználó duplán rákattint, hogy megpróbálja kitömöríteni, hibaüzenetet kap a WinZip programtól, amely sérült állományra panaszkodik. A levélláncként történő terjedésen túl a vírus megpróbálja felülírni a felhasználó dokumentumait az összes elérhető meghajtón (a hálózati meghajtókat is beleértve). Ha a felhasználó nem Microsoft Outlook levelezőt használ, a ZippedFiles nem terjed tovább, a felhasználó dokumentumait azonban ekkor is megsemmisíti. A féreg a Windows 95, 98 és NT operációs rendszerek alatt működik.

"A féreg minden jel szerint gyorsan terjed," jelentette ki Mikko Hyppönen, a Data Fellows antivírus kutatórészlegének vezetője, "de nem olyan gyorsan, mint a Melissa. A kulcskérdés itt az, hogy a ZippedFiles által küldött üzenetek nagyon hihetőek -- teljesen normális válasznak tűnnek az elküldött levélre. A címzett valószínűleg meg fog bízni az üzenetben, és megnyitja a mellékletet."