Win32/ExploreZIP

Worm:ExploreZIP se v ╚esku zaΦal Üφ°it v Φervnu 1999. Worm posφlß sebe sama jako p°φlohu elektronickΘ poÜty pod jmΘnem "ZIPPED_FILES.EXE". Tento soubor je dlouh² p°esn∞ 210432 byt∙. P°edm∞t zprßvy m∙₧e b²t r∙zn² (je to odpov∞∩ na existujφcφ p°edchozφ zprßvu). Zprßva obsahuje nßsledujφcφ anglick² text:
      Hi !  
      I received your email and I shall send you a reply ASAP.  
      Till then, take a look at the attached zipped docs.  

      bye
Po spuÜt∞nφ zmφn∞nΘho souboru se m∙₧e objevit chybovΘ okno s hlßÜenφm o neplatnΘm archφvu ZIP. Worm se pak zkopφruje do systΘmovΘho adresß°e Windows pod jmΘnem EXPLORE.EXE a p°idß jeden °ßdek do souboru WIN.INI, pop°. do registry. To nßsledn∞ zp∙sobφ, ₧e je worm aktivovßn p°i ka₧dΘm startu operaΦnφho systΘmu. Worm pak zφskß e-mailovΘ adresy z poÜtovnφho klienta (pomocφ p°φkazu MAPI nebo z MS Outlook) a posφlß sebe sama na dalÜφ poΦφtaΦe.

Tento worm obsahuje velmi nep°φjemnou manipulaΦnφ rutinu - hledß na dostupn²ch discφch soubory s rozÜφ°enφm .C, .CPP, .H, .ASM, .DOC, .XLS a .PPT a niΦφ je tak, ₧e je zkrßtφ na nulovou dΘlku. To m∙₧e zp∙sobit nevratnΘ ztrßty dat!

Pro odstran∞nφ Worm:ExploreZIP je pod Windows 9x pot°eba smazat soubor EXPLORE.EXE v systΘmovΘm adresß°i Windows a p°ed p°ebootovßnφm odstranit nßsledujφcφ °ßdek ze souboru WIN.INI: run=C:\WINDOWS\SYSTEM\Explore.exe

Pro odstran∞nφ Worm:ExploreZIP je pod Windows NT pot°eba ukonΦit proces se jmΘnem "explore" pomocφ WinNT Task Manageru. Potom pomocφ programu REGEDIT najφt polo₧ku [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] a p°ed p°ebootovßnφm odstranit nßsledujφcφ klφΦ: "run"="C:\\WINNT\\System32\\Explore.exe"
Nakonec sma₧te soubor EXPLORE.EXE v systΘmovΘm adresß°i Windows NT.

Zdroj: Alwil software - v²robce antiviru AVAST

Jedno·Φelov² antivirus:

Win32/ExploreZip
  • Popis/pou₧itφ: Z Windows.

    		•

    N∞kolik dobr²ch rad:

    P°ed pou₧itφm jedno·Φelov²ch antivir∙ je vhodnΘ vypnout stßvajφcφ antivirov² systΘm a to p°edevÜφm on-access skener (Φasto oznaΦovßn jako rezidentnφ Ütφt).

    Pokud jde o hojn∞ pou₧φvan² antivirus AVG 6.0, pak se onen rezidentnφ Ütφt vypφnß zaÜkrtßvacφ volbou v jednΘ ze zßlo₧ek AVG Control Center (ikonka na liÜt∞ vpravo dole). ╚ty°barevnß ikonka by m∞la zeÜednout.

    Ve Windows XP a ME je taktΘ₧ vhodnΘ vypnout funkci OBNOVA SYST╔MU (RESTORE SYSTEM), kterß by pozd∞ji brßnila smazßnφ infikovan²ch soubor∙, kterΘ "uvφzly" v adresß°φch _RESTORE (Windows ME) nebo SYSTEM INFORMATION VOLUME (Windows XP).

    Postup pro Windows ME:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER) a zvolte z nabφdky VLASTNOSTI (PROPERTIES).
  • P°epn∞te se do zßlo₧ky V▌KON (PERFORMANCE) a stiskn∞te tlaΦφtko SOUBOROV▌ SYST╔M (FILE SYSTEM).
  • Zde se p°esu≥te na zßlo₧ku P╪I POT═Ä═CH (TROUBLESHOOTING) a zaÜkrtn∞te poslednφ volbu - ZAK┴ZAT OBNOVU SYST╔MU (DISABLE SYSTEM RESTORE).
  • VÜe potvr∩te tlaΦφtkem OK, Windows se restartuje.

    Postup pro Windows XP:

  • Klikn∞te prav²m tlaΦφtkem myÜi na ikonu TENTO PO╚═TA╚ (MY COMPUTER).
  • Zvolte VLASTNOSTI (PROPERTIES) a nalistujte zßlo₧ku OBNOVEN═ SYST╔MU (SYSTEM RESTORE).
  • Zatrhn∞te volbu VYPNOUT N┴STROJ OBNOVEN═ SYST╔MU NA VèECH JEDNOTK┴CH.
  • Potvr∩te, Windows provede restart.