W32/ExploreZip, ZippedFiles

Vom W32/ExploreZip-Wurm verbreiten sich seit Mitte 1999 verschiedene Varianten. In der Mail steht "I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs." oder "Oi (Name)" und den Text "Eu recebi essa merda da uma olhada ai falou t++++ CYA!!". In englischen Varianten steht "I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs." Die Mail-Beilage mit dem Virencode heisst meist ZIPPED_FILES.EXE.

Diese Datei sieht auf den ersten Blick wie ein selbstextrahierendes Zip-File aus. Wenn Sie dieses ausführen, wird eine Fehlermeldung von WinZip angezeigt, während der Wurm den PC bereits infiziert hat. Von diesem Zeitpunkt an wird sich ExploreZip automatisch an alle Absender der Mails in Ihrem Posteingang senden.

Der Wurm kann sich auch über das lokale Netzwerk verbreiten, indem er sich in freigegebene Windows-Ordner kopiert und - falls vorhanden - die Datei WIN.INI modifiziert.

Der Wurm hat einen gefährlichen Schadensteil: Er überschreibt Microsoft Office Dokumente und setzt deren Dateigrössen anschliessend auf Null.

Wie immer ist es am klügsten, eine Ansteckung des PCs von vorneherein zu verhindern. Gerade bei zerstörerischen Würmern wie ExploreZip erweist sich das Wiederherstellen beschädigter Dateien oft als schwierig oder sogar unmöglich. Seien Sie deshalb skeptisch, falls Ihnen Bekannte plötzlich in einer für sie unüblichen Sprache (z.B. englisch) antworten oder Ihnen unangeforderte Mail-Beilagen senden. Falls Sie ein Netzwerk betreiben, geben Sie keine System-Laufwerke frei.

Neue Informationen (Januar 2003):

Eine neue, anfangs Januar 2003 entdeckte Variante des ExploreZip-Wurms entspricht weitgehend der ursprünglichen Version, mit einer wichtigen Ausnahme: Der Programmcode des neuen ExploreZip-Wurms wurde mit einem anderen Verfahren komprimiert. Dies führte dazu, dass viele Virenscanner den Wurm mit den bisherigen Virendefinitions-Dateien anfangs nicht erkennen konnten. Inzwischen sollten die meisten Hersteller von Antivirensoftware aber nachgezogen haben und überarbeitete Virendefinitionen bereitstellen.

Beseitigung:

Wie der finnische Antivirus-Hersteller F-Secure schreibt [1], sollten alle Netzwerk-PCs während der Beseitigung vom Netz getrennt werden, um eine ständige Rückinfektion zu vermeiden. Nun beenden Sie die Wurm-Prozesse: Drücken Sie Ctrl-Alt-Delete, um den Taskmanager aufzurufen. Beenden Sie jeden dieser drei Prozesse:

zipped_files.exe

Explore.exe (Achtung: nicht "Explorer.exe"!)

_setup.exe

Löschen Sie folgende Dateien, falls vorhanden:

C:\Windows\_setup.exe

oder

C:\Winnt\_setup.exe

C:\Windows\System\Explore.exe

oder

C:\Windows\System32\Explore.exe

oder

C:\Winnt\System32\Explore.exe

oder

C:\Winnt\System\Explore.exe

Nun entfernen Sie noch die Systemeinträge des Wurms:

Unter Windows 95/98/ME: Öffnen Sie die Datei WIN.INI, die Sie direkt im Windows-Ordner finden. Eventuell müssen Sie dazu im Windows Explorer unter Ansicht/Optionen bzw. unter Extras/Ordneroptionen/Ansicht die Anzeige noch so einstellen, damit Systemdateien und Dateiendungen angezeigt werden. In der Zeile, die mit "RUN=" beginnt, löschen Sie den Verweis auf die Datei "Explore.exe".

Unter Windows NT, Windows 2000 und Windows XP: Starten Sie den Registry-Editor, indem Sie zu Start/Ausführen gehen, REGEDIT eintippen und Enter drücken. Klicken Sie sich zu diesem Zweig durch und klicken ihn an, damit Sie in der rechten Hälfte des Registry-Editors die Einträge sehen:

HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows\

Löschen Sie dort den RUN-Verweis zur Datei Explore.exe.

Weitere Informationen finden Sie auch auf den Webseiten von F-Secure und Sophos [2].