W32/ExploreZip-Wurm kehrt zurück

Bekannt ist W32/ExploreZip schon seit Juni. Die Virenwächter schlagen nun aber erneut Alarm. Der Wurm kehrt derzeit in einer neuen Fassung zurück.

Wie meist üblich, ist derjenige der Gelackmeierte, der eine an einer E-Mail angehängte Datei öffnet. Hinterhältig ist am W32/ExploreZip-Wurm, dass er sich an alle Absender verschickt, die er in Mails im Posteingang von Microsoft Outlook findet. Den Empfängern der infizierten Mail wird so vorgaukelt, sie käme von einem Bekannten. Unter diesem Deckmantel arbeitet auch der Text der Mail.

"Hi (Empfänger laut Posteingang) I have received your email and I shall send you a reply ASAP. Till then take a look at the attached zipped docs. Bye."

Aufgetaucht ist der Wurm bereits im Juni, jetzt haben die Virenwächter von Sophos und Symantec aber eine gepackte Version mit der Bezeichnung W32/ExploreZipB entdeckt. Der Wurm nistet sich als EXPLORE.EXE, leicht zu verwechseln mit EXPLORER.EXE, im Systemverzeichnis ein und verändert die WIN.INI so, dass er bei jedem Windows-Start ausgeführt wird. Dabei vernichtet er auf allen verfügbaren Laufwerken unter anderem Dateien mit den Endungen ASM, DOC, XLS und PPT.

Schutz gegen den Wurm bieten einige Hersteller von Antivirensoftware bereits in ihren Updates an. Ansonsten muss laut Sophos unter Windows 9x die Zeile run = c:\\windows\\system\\explore.exe aus der WIN.INI gelöscht werden. Unter Windows NT dagegen hilft es, folgenden Registry-Eintrag zu entfernen: HKEY_CURRENT_USER\\Software\\Microsoft\\WindowsNT\\ CurrentVersion\\Windows\\ run. Außerdem muss die Datei EXPLORE.EXE im Verzeichnis WINNT\\System32 gelöscht werden. Eventuell ist es dafür nötig, mit dem NT-Task-Manager alle EXPLORE.EXE-Anwendungen zu schließen.

In Netzwerken infiziert der Wurm alle verfügbaren Windows-9x- und NT-Versionen, installiert dort eine Datei namens _SETUP.EXE und verändert ebenfalls die WIN.INI. Abhilfe schafft hier das Löschen der Datei _SETUP.EXE und das Säubern von WIN.INI oder Registry wie bereits beschrieben. (uba)