メールを使って増殖する“ワーム”が、インターネット上で猛威をふるっている。“ワーム”とは、自分自身の複製を作って強制的に他に送りつけて増殖するもの。これに対して“ウイルス”は、ファイルに感染して自分自身を複製するものを指す。
今回報告されているワームは一般に“ExploreZip”と呼ばれているもの。ファイルを添付したメールの形で、ユーザーのもとに届く。
添付されているのは、“zipped-file.exe”というファイル名の実行ファイルで、ファイルサイズは210432バイト。受け取ったユーザーがzipped-file.exeを実行すると、使用中のマシンがExploreZipに感染する。ExploreZipはイスラエルで発見され、日本でもすでに被害報告があるという。
一度感染すると、ExploreZipは、その後にユーザーが受け取るすべてのメールの送信者に対し、“zipped-file.exe”を添付したメールを自動返信する。送信するメールの本文には、「I
received your E-Mail and I shall send you a reply ASAP. Till then, take a look at the
attached zipped docs.」と書かれる。
また、ExploreZipはHDD中のファイルの拡張子を走査する。そして、拡張子がdoc(Wordファイル)、xls(Excelファイル)、ppt(PowerPointファイル)のもの、またはプログラムのソースファイルなどを発見すると、ランダムに対象を選び、これを破壊する。破壊されたファイルはファイルサイズが0となり、復旧不可能となる。感染したマシンのOSがWindows
95/98の場合はwin.iniファイルを、Windows NTの場合はレジストリを書き換える。
なお、ExploreZipによるファイル破壊の対象は、感染したマシンのローカルHDDだけでなく、ネットワーク接続で共有されているすべてのファイルが対象となる。書き込みアクセス権があるネットワークドライブの中に“win.ini”ファイルがある場合はそれを書き換えて、自分自身をリモートインストールする。対象のマシンは、次回再起動時にExploreZipに感染する。
ExploreZipは、『Microsoft Outlook』を操作することでメールの自動送信を行なう。したがって、Outlookをインストールしていない場合、ExploreZipは正常に動作しない。また、Outlookのユーザーかどうかに関わらず、ユーザーが添付の“explore.exe”を実行しなければ、感染しない。
ExploreZipに対する、各社の対応状況
ウイルス対策ソフトをリリースしているベンダー各社は、ExploreZipの対策をそれぞれ発表している。トレンドマイクロ(株)は、同社のウェブサイトにて『パターンファイル543』を配布。同社のウイルス対策ソフトにこのパターンファイルを適用することで、ExploreZipの検出が可能になる。また、ExploreZipを手動で削除する方法についての情報を、同社のウェブページに掲載している。
ネットワークアソシエイツ(株)では、同社のウェブサイトにてウイルス対策ソフト『VirusScan』および『NetShield』用の最新DATファイルを提供。これを使うことで、ExploreZipの検出が可能になる。ExploreZipを手動で削除する方法を同社のウェブページに掲載。
(株)シマンテックは、同社が運営するウェブサイト“SARC”において、感染を検出するソフト『KILL_EZ.EXE』を無償提供。ユーザーはKILL_EZ.EXEを実行することで、感染の有無をチェックできる。感染が判明した場合は、KILL_EZ.EXEが自動的にExploreZipを削除する。また、同社のウイルス対策ソフト『Norton AntiVirus』ユーザーを対象に、ExploreZipに対応した定義ファイルを無料で提供する。