WIN95.Zippedfiles

病毒名稱：WIN95.Zippedfiles

TROJ_EXPLOREZIP, W32/ExploreZip.worm@M

病毒自身被執行後進入系統，在當前郵件收件箱中尋找郵件地址，然後將自身複製，以郵件附屬檔案的形式隨郵件信息傳送到已找到的郵件地址： Hi <Name of Recipient>!, I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs. Bye 用戶收到如上好像回覆信息的郵件，用戶名在首列，郵件主題是隨機的，但是通常郵件主題是以前傳送的email主題。附屬檔案使用Winzip圖示顯示。 病毒進入系統（在Windows95/98或NT的32位作業系統中）運行後，生成SETUP.EXE檔案（在Windows目錄）和EXPLORE.EXE檔案（在WINDOWS\SYSTEM目錄）。

例如： C:\WINDOWS\_SETUP.EXE C:\WINDOWS\SYSTEM\EXPLORE.EXE 以上操作是在用戶全然不知的情況下進行的，接著彈出一個訊息窗，聲明ZIP自解壓檔案被終止， " Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help." 病毒在Win.ini檔案中添加如下命令行： 在Windows 9x中： run=C:\WINDOWS\SYSTEM\Explore.exe 在Windows NT中： “run”=”C:\\WINNT\\System32\\Explore.exe” 添加常駐啟動鍵（如下）： HKEY_CURRENT_USER\Software\ 蠕蟲駐留記憶體，它一旦被激活，系統即關閉當機。蠕蟲的任務不在活動視窗，也不會在系統列中看到它，但是可在任務列表（Ctrl-Alt-Del）中看到它使用的檔案副本的名字： Zipped_files Explore _setup 蠕蟲不檢查其自身是否已在Windows系統記憶體中複製，所以，可能會在記憶體中找到多個蠕蟲的入口。

當系統套用進行時，蠕蟲的主程式分4個執行緒運行:安裝執行緒棗蠕蟲檔案拷貝到Windows目錄並駐留，Internet傳播執行緒和兩個檔案被破壞執行緒。 其中，第二個（最重要的）執行緒棗使用各種基於標準MAPI的郵件系統傳送EMAIL信息，這些郵件系統包括MS Outlook，MS Outlook Express等。蠕蟲使用不同的MAPI分4次嘗試登錄已安裝EMAIL的系統：預設的、MS Outlook、MS Outlook Internet Settings、MS Exchange。

與EMAIL連線後，蠕蟲監視所有到達的訊息--蠕蟲無限次循環掃描收件箱信息並回復它們，回覆信息使用郵件的同一主題，郵件的訊息內容同上。 蠕蟲不能回復同一郵件信息兩次，也不能回復自身的信息。對已感染病毒的郵件，蠕蟲在郵件主題（Subject）字串的結尾添加TAB字元作為標記。每次病毒掃描收件箱的郵件信息，得到主題域（Subject），如果在結尾找到TAB，就跳過此訊息。蠕蟲病毒除了在收件箱中未讀取的訊息以外不能回復在收件箱中的其它信息。

請注意蠕蟲病毒傳染過程中的兩個狀態--只回復未讀信息和不回復同一信息兩次，這是非常重要的。在已知的蠕蟲病毒版本中都是如此，但是在下一個蠕蟲病毒版本中蠕蟲傳染的執行緒得到控制，可能每次都會回復收件箱中的所有訊息。 結果，事情仿佛如下所示：當蠕蟲病毒第一次在電腦中運行，它利用在收件箱中找到的所有未讀的訊息傳送染毒信息。它將TAB字元標記在帶毒訊息中，且不再感染它們。

當從Internet接收到一個新訊息並在收件箱中顯示出來，蠕蟲病毒立刻傳送以上所列的正文“回答”。 此病毒具有非常大的危害性。每次被執行，它運行兩個多執行緒掃描本地和網路驅動器的目錄樹，尋找.C,.H,.CPP,.ASM,.DOC,.XLS,.PPT並將它們清零。蠕蟲病毒使用“生成-關閉”（creat-and-close）手段刪除檔案正文並置檔案長度為零，結果檔案變得不可恢復的。