W32/ExploreZip
| Name: |
W32/ExploreZip |
| Alias: |
Worm.Explore.Zip, Zipped Files, Troj.Explore.Zip |
| Merkmale: |
Trojanisches Pferd, Wurm |
| Textstring: |
"zipped_files" |
| Länge: |
210432 Bytes |
| Plattform: |
Windows 9x/Windows NT |
Bekommen Sie eine Email mit dem Inhalt "Hi [Name des Email-Empfängers]! I received your Email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs. Bye", dann ist dies der Virus.
Wie auch Melissa nutzt dieser Virus die Emailfähigkeiten der Windows-Systeme aus. Er verbreitet sich über beispielsweise mittels Outlook, Exchange oder NetScape Mail. Darüber hinaus kürzt er – auch über die Netzwerkumgebung – Dateien auf 0 Byte!
W32/ExploreZip verbreitet sich über Email auf Windows 9x- und Windows NT-Rechnersystemen. Als Emailprogramm kommt jeder MAPI-fähige Email-Client in Betracht. Hierzu gehören unter anderem:
- MS Outlook
- NetScape Mail
- MS Exchange
- Outlook Express
Im aktiven Zustand verteilt er sich über MAPI-Kommandos weiter, indem er sich selbst als Attachment mit dem Namen „zipped_files.exe" versendet. Im Gegensatz zu Melissa versendet sich W32/ExploreZip selbständig an die Adressen unbeantworteter Emails im Posteingang. Melissa hingegen verschickte Kopien von sich selbst an bis zu 50 Empfänger aus dem Adreßbuch.
Durch diesen Trick sieht die Email beim Empfänger ganz unverfänglich aus. Ist sie doch eine Antwort auf die – an einen bekannten Empfänger – versandte Nachricht.
Eine „infizierende" Email sieht folgendermaßen aus:
From: [Name des Email-Absenders]
Subject: re:[Subject der unbeantworteten Nachricht]
To: [Name des Email-Empfängers]
Hi [Name des Email-Empfängers] !
I received your Email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.
Bye oder sincerely
[Name des Email-Absenders]
Attachment: zipped_files.exe
Wird das infizierte Attachment ausgeführt, erscheint folgende Warnmeldung auf dem Bildschirm:
Zu diesem Zeitpunkt ist der Virus aber schon aktiv und „arbeitet". Er kopiert sich selbst entweder unter dem Namen „Explore.exe" oder „_setup.exe" in das jeweilige System-Verzeichnis. Dies ist %windir%\System (üblicherweise c:\windows\system) unter Windows 9x, bzw. %windir%\System32 (üblicherweise c:\winnt\system32) unter Windows NT.
Anschließend modifiziert er die WIN.INI unter Windows 9x, bzw. die Registry unter Windows NT. Durch die Modifikation der INI-Datei, bzw. der Registry erreicht der Virus, daß er bei jedem Hochfahren des Systemes erneut gestartet wird. Hierdurch hat er die Möglichkeit, auch neue Posteingänge entsprechend zu beantworten.
In seiner Schadensroutine ist der Virus multi-threading-fähig: Er erzeugt zwei „Killer-Threads". Einer der Threads sorgt für die „Email-Behandlung", ein anderer Thread ist für das „Leeren" der Dateien zuständig. Der erste Thread überwacht via MAPI neue Posteingänge. Durch das Überwachen neuer Posteingänge „beantwortet" der Virus eingegange Emails sofort wieder mit sich selbst. Bestehende, bisher ungelesene Nachrichten werden ebenfalls sofort beantwortet.
Ein zweiter Thread „leert" Dateien mit folgenden Extensions „.doc, .c, .cpp, .h, .asm, .xls und .ppt". Das „Leeren" ist ein Kürzen der Dateien über die Windows-Funktion „CreateFile" auf 0 Byte! Durch dieses „Leeren" werden Dateien nicht gelöscht und stehen über den Papierkorb auch nicht für eine Wiederherstellung zur Verfügung. Die gekürzten Dateien können nicht wiederhergestellt werden, da der Inhalt „verlorengegangen" ist.
Das Leeren von Dateien läßt sich auch an einer verstärkten Festplattenaktivität feststellen. Doch der Virus „leert" auch solche Dateien, die über „gemappte" Laufwerke bis hin zum Laufwerksbuchstaben „Z:" als Netzwerklaufwerke zur Verfügung stehen („WnetEnumResource"). Die Schadensroutine des Virus ist solange aktiv, wie auch der Virus selbst im Speicher ist.
Der Virus kann jedoch recht einfach durch Löschen der infektiösen Dateien und Modifizieren der WIN.INI bzw. Registry entfernt werden:
- Entfernen der Autostart-Einträge unter Windows 9x durch das Löschen der folgenden Zeile aus der WIN.INI (mittels SysEdit):
run=C:\WINDOWS\SYSTEM\Explore.exe oder
run=C:\WINDOWS\SYSTEM\_setup.exe
Entfernen der Autostart-Einträge unter Windows NT durch das Löschen des Keys aus folgendem Registry-Pfad (mittels RegEdit):
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows
run=C:\WINNT\SYSTEM32\Explore.exe oder
run=C:\WINNT\SYSTEM32\_setup.exe
- Entfernen des Virus
Nach einem Neustart oder einem „Abschießen" des Virus über den Taskmanager sollte der Virus selbst gelöscht werden. Die Datei befindet sich unter dem Namen „Explorer.exe" oder „_setup.exe" im jeweiligen Verzeichnis von Windows:
Unter Windows 9x c:\windows\system\
unter Windows NT c:\winnt\system32\
Es kann daher nicht oft genug vor Emails mit unbekannten Dateianhängen gewarnt werden. Es ist auch eher unüblich, daß Dokumente als selbstextrahierende .EXE-Dateien versandt werden. Anwender sollten mit geeigneten Antivirenprogrammen – auch zur Vorsorge – einmal alle Dateien eines Rechnersystemes untersuchen. Es werden dann auch die temporären Dateien der diversen Emailprogramme untersucht und die darin gespeicherten Viren ggf. entdeckt.
Darüber hinaus zeigt dieser Virus mit seinem agressiven Schadensteil wieder einmal deutlich, wie durch sinnvolle Rechtevergabe in Netzwerken die Schäden hätten begrenzt werden können.
weitere Virenbeschreibungen
Virenkunde
