ExploreZip

ExploreZip (conosciuto come I-Worm.ZippedFiles) è un worm distruttivo che attacca il sistema operativo Windows. È stato scoperto il 6 giugno 1999, in Israele.

Funzioni

ExploreZip contiene un carico utile dannoso. Il worm usa Microsoft Outlook, Outlook Express oppure Microsoft Exchange per spedirsi email rispondendo a messaggi non letti nella propria casella di posta. Il file allegato nei messaggi è Zipped_files.exe. Il worm cerca anche unità collegate e computer in rete per installazioni di Windows. Se trovato, si copia nella cartella \Windows del computer remoto. L'8 gennaio 2003, Security Response ha scoperto una variante "imballata" di questa minaccia che presenta le stesse caratteristiche.

Distribuzione

Il worm è distribuito su un'email con queste parole:

Hi!

I have received your email and I shall send you a reply ASAP. Till then take a look at the attached zipped docs.

Bye!

Traduzione:

Ciao!

Ho ricevuto la tua email e ti spedirò una risposta il più presto possibile. Intanto dai uno sguardo ai documenti zippati.

Arrivederci!

Payload

Il messaggio include un file allegato con il nome di ZIPPED_FILES.EXE. Se aperto, appare un dialog box simile a quello che normalmente appare quando si apre un archivio zip danneggiato, mentre il worm copia se stesso sul disco rigido della macchina e poi modifica il file Win.ini (Windows 9x) o il Registro di sistema (Windows NT) nel computer infetto, in modo da eseguirsi quando la macchina si riavvia. Il worm cerca una copia di Microsoft Outlook per spedirsi a tutte le altre persone presenti nella rubrica dell'utente e distrugge anche i documenti di Microsoft Office, C, C++ e i file di origine nell'hard disk sovrascrivendoli con file da 0 byte.

Voci correlate

• Happy99
• Payload (malware)

  Portale Informatica

  Portale Sicurezza informatica