WM32/ExploreZip.Worm
Im Umlauf seit ca.
Anfang/Mitte Juni 1999

Filegröße ZIP/EXE
nicht bekannt

Mögliche Programm-Icone
liegt nicht vor

Eintragung zwecks Autorun bei Systemstart
Windows 95/98: Win.ini unter "load=" - Explore.exe

NT: HKEY_CURRENT_USER\Software\Microsoft\Windows NT\ CurrentVersion\Windows\ Run = Explore.exe
oder:
HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\ Windows\Run = _setup.exe

Mögliche Verzeichnisse, wo auffindbar
Windows-System-Ordner

Beschreibung
Der Trojaner oder auch Wurm genannt, wird per E-Mail-Anhang (File-Name des Anhangs: zipped_files.exe) unaufgefordert versendet. - Startet der Anwender die EXE-Datei, erfolgt ein Eintrag unter Windows 95/98-Systemen in der Win.ini unter load=.

Bei Windows NT in der Registrierung (siehe weiter oben in dieser Tabelle. Desweiteren erfolgt eine Kopie in das Windows\SystemVerzeichnis. - Das Programm schickt an jeder bisher nicht beantwortete Mail eine Rückmeldung an den Absender. Dazu ein entsprechender Text, der als sogeannte Eingangsbestätigung gelten soll. Diese Funktion ist dem Trojaner/Wurm jedoch nur bei MAPI-fähigen Mail-Programmen, wie z.B. Outlook möglich. Jedoch ist dieser Vorgang nicht die einzige Funktion dieser Datei, die ein Mischung aus Happy99 und Melissa darstellt. Nach jedem Systemstart (also wenn der Trojaner ausgeführt wird) werden alle Laufwerke nach Dateien mit den Endungen: .h, .c, .cpp, .asm, .doc, .xls abgesucht und zerstoert, indem diese auf 0 Byte gesetzt werden.

Dieser Worm ist sehr gefaehrlich, da sich dieser selber ohne Wissen des Anwenders verbreiten kann, sofern das geeignete Mailprogramm verwendet wird.

Besonderheiten
Verbreitet sich selbständig und zerstört diverse Dateien.

Entfernung
Eintrag (ungen) aus der Win.ini bzw. Registrierung (bei NT) entfernen. - Rechner neu booten und die Explore.exe oder (in manchen Fällen _SETUP.EXE aus dem Windows\System Ordner entfernen.


Fenster schliessen