FANDOM



ExploreZip, noto come Zipped Files, è un worm a diffusione di massa, apparso nella tarda primavera del 1999, a mesi di distanza da CIH and Melissa. Ha un payload dannoso che distrugge certi file. Si presume che, nonostante abbia colpito meno computer di Melissa, ExploreZip abbia causato più danno.

ComportamentoModifica

ExploreZip arriva in una email con il seguente testo:

  Hi [nome destinatario]!
  I received your email and
  I shall send you a reply
  ASAP. Till then, take a
  look at the attached
  zipped docs.
  bye, (oppure) sincerely,
  [nome mittente]
Expzip

Il messaggio di ExploreZip

L'allegato si chiama Zipped_files.exe. All'esecuzione, ExploreZip mette in mostra un messaggio, sempre in inglese, sostenendo che l'archivio zip non è valido. Il worm si copia alla cartella di sistema di Windows, sotto il nome di Explore.exe oppure _setup.exe. È possibile trovare il worm in una cartella temporanea oppure in una cartella di allegati email, a seconda del mail client usato dal computer. Il worm modificherà il file Win.ini su Windows 95/98 e aggiungerà il nome del file su HKEY_CURRENT_USER su Windows NT, 2000 e XP, causando così l'esecuzione del worm all'avvio del computer (non ...\CurrentVersion\Run, come molti worm, bensì ...\CurrentVersion\Windows).

ExploreZip cerca file dai drive C a Z del computer infetto e controlla ogni drive accessibile via rete per trovare file con .h, .c, .cpp, .asm (tipi di codice sorgente), .doc, .ppt oppure .xls (documenti, presentazioni o fogli di lavoro Microsoft Office). Il worm impiega CreateFile(), che rende quei file lunghi 0 byte ed irrecuperabili. I file creati dopo l'infezione saranno cancellati fino a quando il worm verrà espulso. L'utente può notare l'attività aumentata dell'hard drive.

Il worm risponde a tutti i messaggi non letti nella casella di arrivo e segna il messaggio come già letto, in modo che esso non si spedisca più dallo stesso computer. Il worm risponderà ad ogni nuova email ricevuta dal computer fino alla rimozione; si copierà anche alle cartelle Windows o WINNT degli altri computer nella rete del computer infetto.

EffettiModifica

Il worm, nonostante abbia infettato meno computer di CIH e Melissa, causò più danno dei due; questo è dato dal fatto che Melissa difettava di un payload veramente malizioso, e CIH non aveva la capacità di diffondersi via email o reti. ExploreZip era anche leggermente più lento di Melissa nel diffondersi.

General Electric e altre compagnie disattivarono i loro sistemi di posta elettronica per paura di ricevere il worm.

BBC venne colpita da una variante del worm a quasi quattro anni di distanza dalla diffusione del worm originale, facendo così che l'organizzazione restringesse le dimensioni delle email che potevano essere inviate tramite la sua rete.

Altri fattiModifica

ExploreZip è il primo worm ad essere compresso con un compressore di file come UPX. Anche con la compressione, resta comunque un worm molto grande, pesando infatti 210,432 byte. Altri worm creati poco dopo, come Navidad, erano molto più piccoli. Il worm cambia corpo del testo ad ogni riproduzione, ma rimane comunque rilevabile.

Collegamenti esterniModifica

White Paper. Cisco Systems "Protecting IP Communications with Integrated Security Solutions"

Eric Chien. Symantec.com "Worm.ExploreZip"

Tim Richardson. The Register, Have you got worms? 1999.06.11

Peter Szor. The Art of Computer Virus Defense and Research, pp. 235, 541. Symantec Press, Addison Wesley, Pearson Press: Upper Saddle River, New Jersey, USA. 2005 ISBN 0-321-30454-3

Amy K. Larsen. Information Week, "Worm Virus Wreaks Havoc". 1999.06.10

Tim Clark. CNet News, "Virus Hit Fewer Machines Did More Damage". 1999.06.15

Iain Thomson. Vnunet.com, Auntie's bloomer lets in nasty virus. 2003.01.10

F-Prot Antivirus Virus Information, W32/ExploreZip.E

VideoModifica

ZippedFiles Windows Worm02:23

ZippedFiles Windows Worm

Ad blocker interference detected!


Wikia is a free-to-use site that makes money from advertising. We have a modified experience for viewers using ad blockers

Wikia is not accessible if you’ve made further modifications. Remove the custom ad blocker rule(s) and the page will load as expected.