W32/ExploreZIP

O ExploreZIP foi encontrado em Israel no dia 6 de junho de 99.

O principal método de propagação é através do envio de respostas a e-mails que chegam na caixa de entrada dos usuários contaminados.

O ExploreZIP vem como um arquivo attachado num e-mail - o arquivo tem o nome de zipped_files.exe

O estrago que ele faz em seu micro.
Ele ainda ataca todos os demais micros ligados na sua Rede Local

Esse worm tem um ataque bastante destrutivo. Utilizando alguns programas de e-mail (já confirmados: MS Outlook, MS Exchange, Outlook Express e Netscape Messenger) ele se embute em e-mails como REPLY (RESPOSTA) para quem envia qualquer e-mail para a máquina infectada. Esse ataque só atinge os e-mails que são recebidos após a infecção tiver ocorrido. Qualquer e-mail pré-existente ficará imune, mesmo aqueles que estejam na caixa de entrada ainda esperando ser lidos.

Quando o attachment (geralmente contendo um arquivo de nome ZIPPED_FILES.EXE) for executado o worm inicia a parte inicial, referente à sua reprodução local: o worm W32/ExploreZIP infecta o micro atacado colocando um arquivo de nome EXPLORE.EXE dentro do diretório \Windows\System, e além disso faz uma busca por todos os drives mapeados pelo Windows: tanto os demais drives locais quanto pelos drives da rede local. E lá também coloca esse arquivo, que é uma cópia do arquivo originalmente attachado. O worm em seguida altera a linha RUN dos arquivos WIN.INI do Windows 95/98 e/ou o REGISTRY do Windows NT, o que garante sua execução a cada boot do micro.

À partir daí ele executa a segunda parte, referente à reprodução pela internet: o verme utiliza os comandos MAPI internos dos programas de E-Mail MS Outlook, MS Exchange, Outlook Express e Netscape Messenger, para se propagar pela Internet. Ele executa tal ação enviando REPLYs (RESPOSTAS) para cada e-mail que você receber, após a contaminação ter sido iniciada. O verme se anexa - com o nome ZIPPED_FILES.EXE nos e-mails de resposta, marcando-os de sorte a não enviar uma nova resposta para o mesmo e-mail.

Com essa técnica o verme tem muita chance de passar pelo crivo de quem recebe a mensagem contaminada, já que em geral ele parece vir de alguém das relações de quem recebe a resposta (aliás vem disfarçado de uma resposta à um e-mail enviado por quem agora está a um passo de ser contaminado).

O primeiro alerta sobre esse verme, foi dado em Israel, no dia 6 de junho, que passou a ser reconhecida como a data de seu nascimento.

A DESTRUIÇÃO:

Quando o worm toma conta de seu micro ele inicia a etapa final de seu ataque: a destruição de seus arquivos. Ele busca por arquivos com as extensões:

• .H  /  .C    /  .CPP   /  .ASM    /  .DOC   /  .XLS    /  .PPT
  com isso ele busca todos os arquivos referentes a projetos em linguagem C, ou em Assembler, além de arquivos do Word, Excel e PowerPoint.

Tais arquivos são então deletados - de seu micro (de todos os seus HDs) e de todos os HDs das máquinas da Rede Local, desde que estejam mapeados pela máquina que foi contaminada.

Estritamente falando tais arquivos não são, na realidade, deletados. O worm ExploreZIP simplesmente marca-os com o tamanho ZERO na FAT (ou FAT32, ou HPFS - FAT do NT) fazendo com que sejam de impossível recuperação - exceto se existir um backup fora dos HDs atingidos, quando nesse caso bastará restaurá-los, obviamente após ter desinfectado os micros atingidos. É de se notar, nesse momento da deleção dos arquivos, a intensa atividade do disco rígido, já que toda a deleção é feita num único momento - atente sempre para um sinal desses.

Enquanto o verme estiver ativo todo e qualquer e-mail que chegar será respondido pelo verme, propagando a contaminação através da Internet. Também todo arquivo criado pelos produtos afetados serão em seguida apagados. É necessária a remoção do verme antes de continuar com qualquer trabalho produtivo nos equipamentos contaminados.

O programa, com o código viral, tem um tamanho de exatos 210.432 bytes

Veja como reconhecer o e-mail que trás o verme anexado.

Conheça o instante preciso da contaminação pelo novo worm.

Como saber se seu micro já está contaminado com o ExploreZIP.

Método # A - Chegada do E-Mail Contaminado

Verifique a existência, em e-mails que você receber como resposta a um e-mail anteriormente enviado por você para o remetente da resposta, de um arquivo anexado (attachado):

• esse arquivo recebe o nome de ZIPPED_FILES.EXE;
• o e-mail-resposta trás as seguintes sentenças em seu corpo:

  Hi (nome do destinatário: isto é seu próprio nome)!
  I received your email and I shall send you a reply ASAP.
  Till then, take a look at the attached zipped docs.
  bye  (algumas vezes vem como: sincerely) (seu nome);

Método # B - O Instante da Contaminação

Se você executar o arquivo attachado no e-mail, que parece ser uma série de arquivos zipados (no formato auto-descompactável - daí a extensão EXE), verá imediatamente uma caixa de mensagem que serve para enganar o usuário, enquanto ele executa as ações de propagação inicial em sua máquina e nas máquinas da rede local:

Essa caixa de mensagem parece com a imagem abaixo:

Quem já usou o WinZip conhece muito bem essa frase, pois em geral significa um arquivo zip corrompido, ou então o disco incial de uma sequência de disquetes de backup feitos por esse programa. Enquanto o usuário fica entretido com essa mensagem, que parece vir de um produto totalmente conhecido, o worm está copiando-se para os diretórios de sistema do seu micro e dos demais que existirem mapeados na rede local.

Método # C - Checando Se o Seu Micro Já Está Contaminado

Se você estiver desconfiando de algo na linha das respostas automáticas a e-mails que você recebeu, ou recebeu um arquivo attachado e achou que os sinais poderiam ser os acima citados, mas não tem certeza, procure pelos sinais abaixo:

• Em micros com Windows 95 ou 98:
  • Abra o arquivo WIN.INI (que se encontra na pasta \WINDOWS )
    e procure pela linha RUN; existindo tal linha verifique se tem o comando abaixo:
    run=c:\windows\system\explore.exe

• Em micros com Windows NT:
  • Abra o REGISTRY (execute o comando REGEDIT)
    e procure pela chave:
    HKEY_CURRENT_USER \ Software \ Microsoft \ 
    WindowsNT \ CurrentVersion \ Windows \ run
    e veja se tem o comando:
    C:\\WINNT\\System32\\Explore.exe

Como remover MANUALMENTE o verme de seu sistema.

Como remover AUTOMATICAMENTE o verme de seu sistema, usando o utilitário KILL_EZ da Symantec.

Como remover AUTOMATICAMENTE o verme de seu sistema, usando o utilitário KILLBOT da McAfee.

Método # A - Manualmente

Siga TODOS os passos abaixo:

1. Edite o arquivo WIN.INI (caso de Windows 95/98)
   remova a linha run=C:\windows\system\Explore.exe
   (alguns casos reportados tinham a linha apontando para outro arquivo:
   run=C:\windows\system\_setup.exe)
2. Edite o REGISTRY do Windows NT
   remova a chave HKEY_CURRENT_USER \ Software \ Microsoft \ WindowsNT \ CurrentVersion \ Windows \ run
   cujo conteúdo contem referência aos arquivos:
   Explore.exe  ou  _setup.exe
3. "Mate" o processo que está rodando na memória para esses arquivos, dando um  CTRL + ALT + DEL - uma única vez,   e FINALIZE a tarefa correspondente;
4. Dê um boot no micro;
5. Delete o arquivo EXPLORE.EXE (ou _SETUP.EXE) existente no diretório SYSTEM de seu Windows;

Método # B - Usando a ferramenta FIXEXZIP da Symantec

Para quem não quiser fazer manualmente as tarefas listadas acima, poderá lançar mão de um pequeno utilitário disponibilizado pela Symantec.

1. Baixe o FIXEXZIP agora, e descompacte-o;
2. Rode o programa, dando um duplo clique sobre o programa FIXEXZIP.EXE;
3. O utilitário avisa, ao final do processo, se houve sucesso na detecção e remoção do verme;

O que o FIXEXIP faz:

1. Verifica se o sistema está infectado pelo ExploreZIP;
2. Remove a linha run= do arquivo WIN.INI;
3. Remove a chave afetada, do REGISTRY, do Windows NT
4. Remove o programa Explore.exe da memória;
5. Deleta o programa Explore.exe do diretório SYSTEM do Wondows