Der ZippedFiles (auch als 'ExploreZip' bekannt) ist ein Melissa ähnlicher E-Mail Wurm. Aber im Gegensatz zu Melissa hat der Zipped_Files Wurm eine scheußliche Schadfunktion. Auch der Weg wie er sich selbst per E-Mail verbreitet ist anders. Der Wurm analysiert eingehende Nachrichten in Microsoft Outlook und sendet eine automatisch Antwort zum Absender zurück.

Diese Antwort sieht folgendermaßen aus:

From: user_of_the_PC
Subject: RE: subject_of_the_original_message
To: sender_of_the_original_message

Hi sender_of_the_original_message !
I received your email and I shall send you a reply ASAP.
Till then, take a look at the attached zipped docs.
Sincerely
user_of_the_pc
Attachment: zipped_files.exe

Von: Nutzer des PCs
Betreff: RE: Betreff der Originalnachricht
An: Absender der Originalnachricht

Hallo Absender der Originalnachricht!

Ich habe ihre E-Mail erhalten und werde ihnen so schnell wie möglich antworten.
Bis dahin, schauen sie sich die angehängten, gezippten Dokumente an.
Mit freundlichen Grüßen
Nutzer des PCs
Anhang: zipped_files.exe

Wenn sie eine Nachricht wie diese erhalten, dann öffnen sie nicht die zipped_files.exe. Sie sieht aus wie eine selbstextrahierende Winzip-Datei, aber es ist keine. Wenn sie geöffnet wird, wird eine Winzip Fehlermeldung angezeigt und dann verschickt sie sich der Wurm selbst an weitere Nutzer über Outlook.

Die angezeigte Fehlermeldung sieht folgendermaßen aus:

Cannot open file: it does not appear to be a valid archive.
If this file is part of a ZIP format backup set, insert the last
disk of the backup set and try again. Please press F1 for help.

[Datei kann nicht geöffnet werden:
Offenbar handelt es sich nicht um ein gültiges ZIP-Archiv.
Wenn es ein Teil eines datenträgerübergreifenden ZIP-Archivs ist, legen Sie bitte die letzte Diskette des datenträgerübergreifenden ZIP-Archivs in das Diskettenlaufwerk Ihres Rechners und versuchen Sie es erneut. Drücken sie F1 für weitere Informationen.]

Der Wurm kopiert sich selbst in 2 Dateien:
\WINDOWS\_SETUP.EXE
\WINDOWS\SYSTEM\EXPLORE.EXE

Er verändert auch die WIN.INI so dass eine dieser beiden Dateien ausgeführt wird, sobald Windows gestartet wird. Der Wurm funktioniert unter Windows 95, 98 und NT. Unter Windows NT verändert der Wurm auch die Registry, das die WIN.INI unter Windows NT ignoriert wird.
Der Wurm beginnt Dateien mit bestimmten Erweiterungen auf lokalen Festplatten und auf Netzlaufwerken auf 0 Bytes zu kürzen, sobald er ausgeführt wird und macht sie damit unbrauchbar. Die folgenden Dateitypen sind betroffen:

.DOC - Microsoft Word Dokument
.XLS - Microsoft Excel Tabelle
.PPT - Microsoft PowerPoint Präsentation
.ASM - Assembler Quellcode Datei
.CPP - C++ Quellcode Datei
.C - C Quellcode Datei
.H - C header Datei

Sobald der Wurm einen Computer in einem Firmen-Netzwerk infiziert hat, beginnt er nach anderen Windows-Computern im Netzwerk zu suchen. Wenn ein anderer Nutzer freigegebene Verzeichnisse auf seinem Computer hat, so versucht der Wurm diesen Computer über das Netzwerk zu infizieren.

Das bedeutet, das ihr Computer auch dann mit ZippedFiles infiziert werden kann, wenn sie sehr vorsichtig mit ihren E-Mails umgehen, keine Dateianhänge öffnen oder überhaupt kein E-Mails nutzen. Sie bemerken die Infektion nicht, aber ihr Computer beginnt danach automatisch eintreffende E-Mails zu beantworten. Die Antworten enthalten einen infizierten Dateianhang und verbreiten den Wurm weiter. Zusätzlich beginnt der Wurm damit Dateien auf lokalen und auf Netzlaufwerken zu löschen.

Um den Wurm über ein Firmennetzwerk zu empfangen muss ihr Computer mit Windows 95 oder 98 laufen und sie müssen außerdem das System-Laufwerk oder den Windows-Ordner für andere mit allen Rechten freigegeben haben. Das freigegebene Laufwerk muss nicht gemountet sein, um das System zu infizieren und den Wurm zu verbreiten, da der Wurm alle verfügbaren Laufwerke die im Netzwerk freigegeben sind absucht. Standardmäßig gibt Windows keine Laufwerke für andere Nutzer frei, aber viele Nutzer tun dies um ihren Kollegen leichten Zugang zu ihren Dateien zu geben.

Unter Windows 95/98 nutzt der Wurm einen Trick um die Desinfizierung zu erschweren. Nachdem er sich in die beiden Dateien geschrieben hat, verändert er die WIN.INI so das EXPLORE.EXE als erstes ausgeführt wird. Nach einen Neustart wird der Wurm aus der EXPLORE.EXE gestartet und verändert die WIN.INI so dass beim nächsten Start die _SETUP.EXE ausgeführt wird. Nach dem nächsten Neustart verändert er die WIN.INI erneut, so dass wieder die EXPLORE.EXR als erstes ausgeführt wird. Usw...

VARIANTE: Zipped_Files.pak
ALIAS: I-Worm.ZippedFiles.packed, MiniZip, ExploreZip.packed, ExploreZip.pak GRÖSSE: 120495

Am 30. November erschien eine gepackte Version des Zipped_Files Wurms. Die Größe des Wurms wurde durch die Nutzung des NeoLite Packers mehr als halbiert. Das erste Beispiel dieses Wurms erreichte F-Secure am Donnerstag, den 10. Juni um 11:00 WEZ. Der Wurm wurde bereits von einigen Ländern bestätigt und scheint sich schnell zu verbreiten.

VARIANTE: Zipped_Files.pak.b
ALIAS: ExploreZip.packed.b, I-Worm.ZippedFiles.packed.b, MiniZip.b, ExploreZip.pak.b
GRÖSSE: 137321

Eine weitere Variante des ExploreZip.packed Wurms erschien Anfang Dezember 1999. Dieser Wurm verbreitet sich mit einer Italienischen Nachricht. Der Wurm ist mit einem anderen Packer komprimiert - APLib. Der Wurm infiziert die Dateien DRVSSRV.EXE oder _SAVER.SCR und verteilt sich via Outlook als FILE_ZIPPATI.EXE im Gegensatz zu den vorigen Versionen.

[Analyse: Mikko Hypponen, Alexey Podrezov, F-Secure
Deutsche Übersetzung: RenéM renemuehle@gmx.de für F-PROT in Deutschland]