Incercarile specialistilor de a aproxima intr-o prima faza pierderile de pe urma exilarii fortate prin intreruperea comunicatiilor cu exteriorul au fost sortite esecului. Intreaga lume soft reactioneaza pentru a opri sau macar a diminua pagubele pe care acesta le produce. In cursa pentru oprirea micutului program alearga si FBI!Virusul a fost raportat prima oara pe 6 iunie 1999 de catre Centrul de Cercetari al Symantec, alertat de cinci companii din Israel. El se numeste Worm.ExploreZip sau Troj
Incercarile specialistilor de a aproxima intr-o prima faza pierderile de pe urma exilarii fortate prin intreruperea comunicatiilor cu exteriorul au fost sortite esecului. Intreaga lume soft reactioneaza pentru a opri sau macar a diminua pagubele pe care acesta le produce. In cursa pentru oprirea micutului program alearga si FBI!
Virusul a fost raportat prima oara pe 6 iunie 1999 de catre Centrul de Cercetari al Symantec, alertat de cinci companii din Israel. El se numeste Worm.ExploreZip sau Troj. ExploreZip. Virusul foloseste comenzile Mail Application Programming Interface (MAPI) si Microsoft Outlook din Windows pentru a se propaga.
In anumite privinte este asemanator cu virusul Melissa ce s-a raspandit cu viteza mare in martie. Work.ExploreZip se propaga din computer in computer, beneficiind de avantajele automatizarii din Windows pentru cei ce folosesc softul de mail de la Microsoft. Chiar daca noul virus nu se raspandeste la fel de repede ca Melissa, lasa in urma lui mai multe stricaciuni, stergand fisiere apartinand Microsoft Word, Excel si Powerpoint, printre altele.
Multe firme au inchis sistemul de e-mail pana cand nu au gasit o solutie la aceasta problema. Boeing a fost cea mai lovita companie. Gigantica firma a inchis sistemul de mail, folosit de mai mult de 150.000 de angajati. Chiar si asa firma a fost atinsa de virus si o sursa din interiorul companiei, ce a preferat sa nu fie dezvaluita, spune ca are cunostinta de cel putin un caz in care calculatorul unui angajat a fost sters in intregime.
PricewaterhouseCoopers a facut acelasi lucru cu sistemul sau de e-mail, folosit de nu mai putin de 45.000 de angajati in SUA, ca raspuns la actiunea virusului. Alertati in fatidica zi de 6 iunie, ei au inchis sistemul la ora 2.30 pm si au reusit sa puna in functiune o parte din acesta la ora 7 pm, dar purtatorul de cuvant nu stia sa aprecieze cat de mari sunt pagubele si cati angajati au fost afectati.
Cateva companii spun ca au dezamorsat virusul inainte ca acesta sa cauzeze prea multe probleme. Purtatorul de cuvant al Microsoft a declarat ca firma a deconectat serverul de e-mail la ora 9 am, pentru ca programatorii sai sa poata lucra la antidot. Toata aceasta distractie l-a costat doua ore. Microsoft recomanda tuturor utilizatorilor instalarea unui soft antivirus de ultima generatie, pentru a putea preintampina eventualele neplaceri.
Angajatii dezvoltatorului de software antivirus Symantec raporteaza ca ei au primit un e-mail ce continea „viermele” ca pe un attachement.
E-mail-ul infectat contine urmatorul mesaj: „Hi(numele adresantului)! Am primit mail-ul tau si iti voi trimite un raspuns cat mai repede cu putinta. Pana atunci arunca o privire asupra fisierului zipat atasat ce contine documente de Word (.doc)”. Spre deosebire de Melissa, care se infigea in cartea de adrese a utilizatorului, noul virus bantuie prin in-box-urile din Microsoft Exchange sau Outlook. „Viermele” se autotasteaza ca un fisier numit zip_files.exe si se trimite ca raspuns la un e-mail. Chiar daca se asteapta ca raspandirea virusului sa nu fie la fel de rapida ca in cazul Melissei, totusi el distruge fisiere.
Este un virus parsiv, pentru ca pozeaza in fisier zip cand, de fapt, el nu este altceva decat un executabil care, o data instalat, cauta pe tot hard-discul si distruge fisiere cu extensia .doc, .xls, .ppt, .cpp sau .asm.
Worm.ExploreZip foloseste Microsoft Outlook, Outlook Express sau Exchange pentru a se trimite pe sine prin mail prin raspuns la mesajele necitite din Inbox-ul dvs. Virusul scaneaza discurile din sistem si computerele aflate in retea si se autocopiaza in directorul Windows modificand Win.ini. Toate aceste actiuni nu vor inceta pana cand virusul nu va fi scos din sistem.
FBI este cu ochii
pe Internet
Cei de la Symatec au dezvoltat repede un produs finalizat in 9 iunie, care ajuta in lupta cu virusul. Se cheama Kill_ez.exe si este gandit sa scoata un virus activ Worm.Explore.exe de pe un computer dotat cu Win95, Win98 sau Win NT. Aceasta unealta va declansa urmatoarele proceduri:
1. Va verifica daca sistemul este infectat cu Worm./ExploreZip. Daca da, va trece la urmatorul pas.
2. Sub Windows NT va scoate toate modificarile pe care „viermele” le-a facut in registre.
3. Sub Windows 95 va scoate toate modificarile ce au intervenit in Win.ini care se gaseste in directorul Windows.
4. Unealta va scoate din memorie programul Worm.ExploreZip
5. Va sterge din memorie fisierul Explore.exe din directorul sistem Windows. Sub Window 95 si 98 va sterge C:/Windows/system/Explore.exe. Sub Windows NT va sterge C:/Windows/system32/Explore.exe (programul va localiza corect directorul Windows chiar daca acesta se afla pe computer sub o alta denumire).
6. In final, unealta va sterge fisierul Setup.exe. Sub Windows 95 si 98, vor sterge C:/Windows/Setup.exe. Sub Windows NT va sterge C:/Windows/Setup.exe (programul va localiza corect directorul Windows, chiar daca acesta se afla pe computer sub o alta denumire).
Antidotul poate fi gasit la https://www.sarc.com/avcenter/kill ez.html
Si alte firme dezvoltatoare de software antivirus au depus pe site-urile lor de Web solutii pentru indepartarea virusului. Panda Software (www.pandasoftware.com) si TrendMicro (https://www.antivirus.com/vinfo/security/sa061099.htm), avand chiar posibilitatea de a scana on-line calculatorul.
Purtatorul de cuvant al Trend Micro relateaza ca, imediat dupa aparitia acestuia, s-au primit 107 apeluri telefonice de la clienti ingrijorati. Treisprezece dintre aceste apeluri proveneau de la clienti deja infestati. Site-ul celor de Mc Afee (www.averlabs.com) a inregistrat o crestere cu 600% din momentul in care au fost plasate solutii pentru indepartarea virusului.
„Ca si in cazul Melissei, transmiterea virusului poate fi o metoda criminala si FBI investigheaza”, a spus Michael Vatis directorul NPIC (National Infrastructure Protection Center). Vatis adauga ca virusul poate cauza pagube importante in sectorul privat si cel guvernamental. Dupa ce Melissa a lovit, la 26 martie anul acesta, FBI a invitat si alte agentii sa se alature pentru identificarea si prinderea celor care au creat si dupa aceea au raspandit virusul. Pe 1 aprilie, a fost arestat un individ in varsta de 30 de ani, David L. Smith, din New Jersey, acuzat in acest caz. El pledeaza nevinovat, dar cazul lui se afla inca pe rol. Cine urmeaza?