2003年1月8日、Security Responseは、このワームと同じ特徴を持ち、圧縮されたバージョンの亜種を発見し、2003年1月8日付のウイルス定義ファイル、ファイルバージョン50108q (20030108.017)以上で対応しました。

Worm.ExploreZipは、悪質な発病症状を持っているワームです。このワームはMicrosoft Outlook、Outlook Express、Exchangeを使用して、受信トレイにある未読メッセージへの返信を装い、自分自身を送りつけます。添付ファイル名はZipped_files.exeです。

このワームはまた、マッピングされているドライブやネットワーク接続しているWindowsコンピュータを探し、自分自身をそのマシンのWindowsディレクトリにコピーし、WIN.INIを改変します。

別名: W32.ExploreZip Worm, I-Worm.ZippedFiles [AVP], Win32/ExploreZip.Worm [CA], W32/ExploreZip@MM [McAfee]

種別: ワーム

感染サイズ: 210,432 バイト

影響を受けるシステム: Windows 95, Windows 98, Windows NT, Windows 2000, Windows XP, Windows Me

影響を受けないシステム: Windows 3.x, Macintosh, UNIX, Linux

対応日(Intelligent Updater)* 99/06/09(米国時間) 対応日(Live UpdateTM)** 99/06/09(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 50-999 報告件数: 3-9 地域感染度: 低 対処レベル: 中 駆除: 普通

危険性評価グラフ 被害状況: 低 ダメージ: 高 感染力: 高

ダメージ

• 発病症状: Worm.ExploreZipが実行されると、C〜Zドライブとアクセス可能なネットワークコンピュータを調べ、特定のファイルを探します。このワームは一連のファイルを選択し、CreateFile()を呼び出し、それらのファイルを0バイト長にすることで、様々な拡張子（.h, .c, .cpp, .asm, .doc, .xls, .ppt）を持つファイルを破壊する。破壊されたファイルは修復不能になる。この発病症状は、ワームがシステム上で動作中の間継続的に実行されるため、上記のいずれかの拡張子を持つ、新たに作成されたファイルも破壊されることになる。
  
  • 大量メール送信: MS Outlook/Express/MS Exchangeを使用する。
    
  • ファイル削除: 拡張子が.c、.cpp、.h、.asm、.doc、.ppt、.xls のファイルを全て削除する。
    
  • ファイル改ざん: WIN.INI
    
  • パフォーマンス低下: ハードディスクへのアクセスが増加し、データを破壊して修復不可能にする。
    

感染力

• メール件名: 以前に送信したメールの宛先からの返信を装う。
  
• 添付ファイル: Zipped_files.exe
  
• 添付ファイルのサイズ: 1ファイル
• 共有ドライブ: 全てのローカルドライブとマッピングされているネットワークドライブに感染する。
  
• 感染対象: Windows 9x / NT システム
  

Worm.ExploreZipは実行されるたびにユーザのハードドライブ、マッピングされているドライブ、アクセス可能なネットワークコンピュータ上に保存されている、拡張子が.h、.c、.cpp、.asm、.doc、.ppt、.xlsのファイルを全て削除します。この動作は、ワームが削除されるまで続きます。


このワームは、Zipped_files.exeという添付ファイルとして届きます。実行されると、\Windows\Systemフォルダに自分自身をExplore.exeというファイル名で、あるいは、\Windowsフォルダに_setup.exeというファイル名でコピーします。また、WIN.INIまたはレジストリを、Windowsの起動時に毎回Explore.exeが実行されるように改変します。

このワームは、イスラエルで最初に発見され、Symantec Security Responseには1999年6月6日に提出されました。

Worm.ExploreZipは、Windows 9x/NTシステム上でMAPIコマンドとMicrosoft Outlook/Microsoft Exchangeを使用して感染を広げます。

このワームは、ユーザの受信トレイで発見した未読メッセージの差出人に対し、自分自身をZipped_files.exeとして添付した電子メールを勝手に返信します。
いったん受信トレイ内のメッセージに返信すると、2度と返信しないように印を付けます。この電子メールには、次のように、差出人が以前ユーザに送信したメールの返答に見せかけた件名とメッセージが含まれます。

Hi <受信者の名前>!
I received your email and
I shall send you a reply
ASAP. Till then, take a
look at the attached
zipped docs.

bye,

<ユーザの名前>

または

sincerely,

<ユーザの名前>

ワームはその後も引き続き受信トレイを監視し、新たに受信したメッセージに上記の方法で勝手に返信します。

添付ファイルが実行されると、次のウィンドウを表示します。




このウィンドウに表示されるボタンは[OK]を意味します。このボタンには、感染したオペレーティングシステムの言語バージョンに応じた文字が表示されます。上図は、ヘブライ語版のWindowsシステムで表示された場合のウィンドウです。

このワームは、\Windows\Systemフォルダ（Windows NTでは\System32フォルダ）にも自分自身をExplore.exeまたは _setup.exeというファイル名でコピーし、WIN.INIファイル（Windows 95/98)またはレジストリ（Windows NT)を改変することにより、Windowsの起動時に毎回、ワームプログラムが実行されるようにします。このファイルはWindowsのテンポラリフォルダか、あるいは、使用しているメールクライアントプログラムの添付ファイル用フォルダに保存されている可能性があります。どちらのフォルダに保存されるかは、ご使用のメールクライアントプログラムにより異なります。

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

Symantec Security Responseは、メモリからこのワームを駆除するKILL_EZというツールを用意しました。このツールについての詳細は、KLL_EZツールのページをご覧ください。このワームを駆除するには、このツールをお使いになることを推奨します。

このワームを手動で削除したい場合は、次の手順にしたがってください。

• Windows 95/98の場合:
  
  1. システム構成エディタ（Sysedit.exe）などのテキストエディタを使ってWin.iniファイルを開きます。
     
  2. run=行から C:\Windows\System\Explore.exe または C:\Windows\System\_Setup.exe を削除します。
     
  3. コンピュータを再起動します。
     
  4. C:\Windows\System フォルダからExplore.exeを削除します。
     
     
• Windows NTの場合:
  
  1. レジストリ エディタ(Regedit.exe)を起動します。
     
  2. 次のレジストリキーを選択し、
     
     HKEY_CURRENT_USER\Software\Microsoft\WindowsNTCurrentVersion\Windows\Run
     
     Explore.exeまたは _setup.exeを参照するエントリを削除します。
     
     
  3. コンピュータを再起動するか、あるいは、（上記のファイルが動作中の場合は）タスクマネージャまたはプロセスビューを使用してプロセスを終了させる必要があります。
     
     
     
  4. C:\Winnt\System32 フォルダからExplore.exeを削除します。
     
     注意: ファイルの修復方法については、Norton Utilities ドキュメント Error: "Cannot open file... if part of a ZIP format backup set..." and the Size of Many Files is Zero（英語）をご覧ください。