Win32/ExploreZIP

Worm:ExploreZIP se v ╚esku zaΦal Üφ°it v Φervnu 1999. Worm posφlß sebe sama jako p°φlohu elektronickΘ poÜty pod jmΘnem "ZIPPED_FILES.EXE". Tento soubor je dlouh² p°esn∞ 210432 byt∙. P°edm∞t zprßvy m∙₧e b²t r∙zn² (je to odpov∞∩ na existujφcφ p°edchozφ zprßvu). Zprßva obsahuje nßsledujφcφ anglick² text:
      Hi !  
      I received your email and I shall send you a reply ASAP.  
      Till then, take a look at the attached zipped docs.  

      bye
Po spuÜt∞nφ zmφn∞nΘho souboru se m∙₧e objevit chybovΘ okno s hlßÜenφm o neplatnΘm archφvu ZIP. Worm se pak zkopφruje do systΘmovΘho adresß°e Windows pod jmΘnem EXPLORE.EXE a p°idß jeden °ßdek do souboru WIN.INI, pop°. do registry. To nßsledn∞ zp∙sobφ, ₧e je worm aktivovßn p°i ka₧dΘm startu operaΦnφho systΘmu. Worm pak zφskß e-mailovΘ adresy z poÜtovnφho klienta (pomocφ p°φkazu MAPI nebo z MS Outlook) a posφlß sebe sama na dalÜφ poΦφtaΦe.

Tento worm obsahuje velmi nep°φjemnou manipulaΦnφ rutinu - hledß na dostupn²ch discφch soubory s rozÜφ°enφm .C, .CPP, .H, .ASM, .DOC, .XLS a .PPT a niΦφ je tak, ₧e je zkrßtφ na nulovou dΘlku. To m∙₧e zp∙sobit nevratnΘ ztrßty dat!

Pro odstran∞nφ Worm:ExploreZIP je pod Windows 9x pot°eba smazat soubor EXPLORE.EXE v systΘmovΘm adresß°i Windows a p°ed p°ebootovßnφm odstranit nßsledujφcφ °ßdek ze souboru WIN.INI: run=C:\WINDOWS\SYSTEM\Explore.exe

Pro odstran∞nφ Worm:ExploreZIP je pod Windows NT pot°eba ukonΦit proces se jmΘnem "explore" pomocφ WinNT Task Manageru. Potom pomocφ programu REGEDIT najφt polo₧ku [HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows] a p°ed p°ebootovßnφm odstranit nßsledujφcφ klφΦ: "run"="C:\\WINNT\\System32\\Explore.exe"
Nakonec sma₧te soubor EXPLORE.EXE v systΘmovΘm adresß°i Windows NT.

Zdroj: Alwil software - v²robce antiviru AVAST