基本概念

專題報導

新型態「電腦蟲」引發另一波「蟲蟲危機」，藉著電子郵件、企業網路雙管齊"毒"，破壞力更甚CIH、Melissa（梅莉莎），台灣企業一天內中毒率暴增6倍
"Explorezip探險蟲" 具有「開機後再生」、「即刻連鎖破壞」能力
企業用戶應即刻更新防毒元件、即時掃毒，網路連線電腦必須100 ％掃瞄

以"電腦蟲" 型態展開破壞的" Explorezip探險蟲" 病毒，6月 9 日在國外傳出災情後，第二天傳入台灣，許多大型企業的重要檔案包含程式檔、 Microsoft Office 相關檔案在瞬間化為烏有，不只企業內部呈現骨牌式連鎖感染，連與該企業 EMail往來的客戶，也都遭逢同樣的破壞，使用者可以很明顯的發現網路效率會大幅的降低。由於疫情蔓延的速度有擴大的趨勢，趨勢科技" eDoctor 全球病毒實驗室"細部分析最近流行的新病毒"探險蟲"，發現該病毒的傳染媒介並不限定於 Email ，更可透過「網路上的芳鄰」暗中散播，根據趨勢科技技術支援部門統計，短短一天內，台灣中毒的企業暴增 6 倍，其中不乏知名企業。究其原因為，" Explorezip探險蟲"為"電腦蟲"型態，它具有「開機後再生」、「即刻連鎖破壞」的能力， 1000台電腦即使 999台清除了" Explorezip探險蟲"，整個網路還是可能再度連鎖骨牌式全面感染，再度凸顯企業防毒中央控管的重要性。未免災情再度蔓延， 1999年6 月13 日趨勢科技再次針對各型企業組織發出一級病毒警訊通知。

Internet 電腦病毒防制專家趨勢科技呼籲：" Explorezip探險蟲"不似 Melissa 病毒，可從信件主旨直接辨識該信件是否為帶毒信件， Email 使用者收到"「回覆」 Re:"信件時，必須特別留意信件內容是否如下：
  Hi Penny (收件人名字) !
    I received your email and I shall send you a reply ASAP.
   Till then, take a look at the attached zipped docs.
    Sincerely Johnson 
  PS.問候語也有可能是Bye, Sincerely, All或是Salutation等。

這時若你發現信中夾帶檔名為"zipped_files.exe"的附件，請千萬不要開啟，直接刪除該信件。否則將會展開一連串的破壞行動。

趨勢科技" eDoctor 全球病毒實驗室"表示，這隻"探險蟲"己確知會嚴重破壞網路連線電腦，在某些情形下甚至己安裝防毒軟體的電腦仍有被破壞的可能，比如沒有更新防毒元件、組織中有一台電腦沒有 100％ 掃瞄檢查是否有中毒檔案並完全解毒，這對企業網路將造成難以估計的破壞。主因是"探險蟲"一旦進入企業體即可藉著內部網路登入其他台電腦或伺服器，直接刪除目標檔案( 目前己知有七種檔案格式為其刪除目標，請見稍早發佈新聞稿，同附件)。亦即，企業若要確實保護所有的電腦及伺服器必需謹慎的讓網路上的每一台電腦及伺服器都能完成防毒保護，並且隨時更新防毒元件，以面對層出不窮的新病毒事件。趨勢科技特別提醒，不可忽略外務人員在外洽公的 Notebook，必須在連上網路前徹底掃瞄

探險蟲如何藉由 Email 產生破壞動作？
注意"Re:..."開頭的回信，及附件檔名為"zipped_files.exe"的執行檔
EXPLOREZIP（探險蟲）會同時攻擊Windows 95/98/NT環境，這隻源自於以色列的病毒，與之前的Melissa ( 梅莉莎 )不同之處是它除了會透過電子郵件大量傳播之外，還具有破壞檔案的作用。當電腦受到感染後，其他使用者寄電子郵件給已受到感染的用戶，該受到感染的電腦會利用Microsoft的MAPI功能，在使用者不知情的狀況下，自動將這個病毒"zipped_files.exe"以電子郵件的附件的方式，寄給送信給這部電腦的用戶。比如不知情的 Penny 寫一封標題為" How are you ?" 的 Email 給中了EXPLOREZIP（探險蟲）的 Johnson ，之後 Penny 會收到一封來自Johnson 標題為" Re: How are you ?"的以假亂真的回信，Penny 打開信件後會看到如下的內容：
   Hi Penny!
     I received your email and I shall send you a reply ASAP.
    Till then, take a look at the attached zipped docs.
    Sincerely Johnson
  PS.問候語也有可能是Bye, Sincerely, All或是Salutation等。

Internet 電腦病毒防制專家趨勢科技提醒 Email 使用者，如果您最近收到上述的回信內容，且打開名為"zipped_files.exe"的執行檔附件，得小心EXPLOREZIP（探險蟲）已經開始展開破壞力了。一旦使用者執行EXPLOREZIP（探險蟲）時，這隻病毒會出現如下的看似"專業"的假訊息：
"Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help."

探險蟲如何在網路內運作?開機後再生，即刻連鎖破壞

"Explorezip探險蟲"一旦在任何一台電腦中啟動，即會找尋網路上原設定讓中毒電腦分享資源的其他電腦，一旦找到目標，"探險蟲"即會開始修改其開機設定(若是針對 Windows 95/98 電腦，則加入 WIN.INI中；針對NT電腦則是加入" Registry")並安裝一個具破壞性的執行檔案( Explore.exe or _setup.exe)。同時對網路上的非唯讀檔案，刪除檔案中的內容，使檔案大小變成 0 個Byte.除非被感染的電腦已被清除乾淨，否則一旦重新開機，該電腦將會成為帶原者，再度於網路上尋找下一個網路上的芳鄰，開始進行散播。由於這是屬於「電腦蟲」型態病毒，未更新至最新防毒元件的防毒軟體，探險蟲可以輕易地避開偵測，展開星星燎原的破壞。也就是說當你的資料被破壞後，Explorezip探險蟲並不會因此罷手，反而以你的電腦為中心，尋找下一個受害者。而下一個受害者，也會再重新開機的剎那，危害網路上的其他人，造成骨牌式連鎖感染。

企業組織該採取什麼行動?「斬草除根」，確保每一台電腦「乾淨無毒」，
否則「春風吹又生」

網路管理者必須100％ 確認企業內部從 desktop 到 server 的每一台電腦的每一個檔案都已經 100％ 掃瞄且已經完全清除該病毒，詳細的處理步驟 可以逕至趨勢科技網站查詢。非趨勢科技用戶可連線至http://antivirus.seed.net.tw/ 執行 HouseCall 線上掃毒。

企業防毒策略唯有中央控管，才可滴水不漏
近 3 個月來，病毒型態的改變與破壞力可說是防不勝防，追塑自今年 3 月底 Melissa （梅莉莎）、4月26日的 CIH 至 6 月份的" Explorezip探險蟲"，每一隻病毒都有其共同的特性，那就是以 Internet 為其主要傳播媒介，並進行全球性的破壞。趨勢科技" eDoctor 全球病毒實驗室"病毒防治中心表示：「病毒的散播力不止"一秒千里"，其破壞力更是日異翻新。唯有將防毒工作交由"中央控管 "，才可做到滴水不漏。比如 其中有一台Desktop 沒有即時更新防毒元件，中央控管單位即可立即獲知，並即時更新。而自各個病毒入侵管道全面性防堵病毒，亦將成為趨勢，以" Explorezip探險蟲"為例，企業必須同時顧及 Email Server 及 client 端，才可避免病毒藉機滲透。」

"Explorezip探險蟲"完全封殺程序
"Explorezip探險蟲"的威脅更大於梅莉莎（Melissa）及CIH

一級紅色警戒：
"Explorezip探險蟲"和以往電腦病毒最大的不同點在於它會透過網路來感染遠端的電腦系統，同時破壞檔案。因此在企業網路環境內如果有任何一部電腦感染到這隻病毒，它都會利用網路進行破壞。使用者可以很明顯的發現網路效率會大幅的降低，同時遠端的電腦系統不管是否已經安裝了防毒軟體，都有可能受到影響。

以上的警告代表什麼意思呢？
這代表任何一部沒有防護或是已經感染到" Explorezip探險蟲"的電腦，可能對企業網路造成無法估計的損失。它會破壞網路伺服器或其他工作站上的資料及檔案；即使那些伺服器或是工作站都已經安裝了防毒軟體。

"Explorezip探險蟲"是如何達到這樣子的破壞？
當某部電腦被EXPLORZIP 探險蟲 感染後，EXPLORZIP 探險蟲會持續的掃瞄這這部電腦可以存取並已經連線的網路磁碟機（不管是否在同一個網域domain內），發現到網路磁碟機後，如果這部中毒的電腦對這些網路磁碟機有“寫入”write的權限，接下來該病毒的動作是：如果該網路磁碟機是windows 95/98系統，則EXPLORZIP 探險蟲會修改該遠端系統上的win.ini檔案，同時把病毒程式（可能是explore.exe或是_setup.exe）安裝到遠端電腦上，同時開始破壞特定檔案。
.c (c source code files)
.cpp (c++ source code files)
.h (program header files)
.asm (assembly source code)
.doc (Microsoft Word)
.xls (Microsoft Excel)
.ppt (Microsoft PowerPoint)
將以上副檔名的檔案的大小都改成0，而造成無法估計的損失。而這些動作都會避開遠端電腦上的防毒軟體的偵測。而遠端電腦在重新開機後，也有可能變成該病毒的帶原者，再從這部電腦開始週而復始的重覆以上的動作，進而破壞其他電腦上的檔案。

MIS人員該如何讓企業網路免於EXPLORZIP 探險蟲的威脅？
IS/IT人員該採取何種措施？

確定您使用的趨勢產品已經將防瞄引擎更新到VSAPE 2.062以上，同時使用543以上的病毒碼。目前趨勢科技的最新病毒碼為546。546病毒碼同時可以偵測到一隻變種的梅莉莎病毒。請同時確定所有的個人電腦的掃瞄引擎及病毒碼也必須同時更新。如果您使用OfficeScan產品的話，您可以利用OfficeScan的管理主控台更新工作端個人電腦的防毒程式。當所有的工作站電腦都已經更新到最新的防毒元件後，再使用OfficeScan管理主控台手動的掃瞄所有的個人電腦。如果在任何的工作站或是伺服器上發現任何EXPLORZIP 探險蟲病毒，請參考以下的詳細步驟：以ScanMail for Exchange或是Scanail for Notes手動掃瞄Microsoft Exchange Server的information store或是Lotus Notes。

如果已經感染了EXPLORZIP 探險蟲，您應該怎麼辦？

保護伺服器：
A: 如果這個病毒已經在您的網路環境上造成某些程度的破壞了，首先將伺服器的存取權限改成“讀取”（Read-Only），必要時，請先關掉伺服器，以避免檔案進一步的被破壞。 
理由：任何一部對這部伺服器有“變更”（write permissions）的工作站，如果受到感染。而該工作站又已經連接上了這部伺服器，那麼在那部工作站上的病毒就會開始破壞這部伺服器上的資料。同時在某些條件下（例如該工作站的使用者對這部伺服器有管理者的權限），這部工作站也會被病毒感染。

B: 使用ServerProtect手動掃瞄伺服器，刪除所有發現的病毒。如果該伺服器已經受到感染。請利用“登錄編輯器”（regedit）刪掉以下目錄的數值
HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows\run
將數值由“c:\winnt\system32\Explore.exe”改成空白。
理由：如果這隻病毒已經在執行了，那麼您就沒有辦法刪除。所以必須先將登錄值刪掉，才能避免這隻病毒在電腦開機後就自動執行。

C: 重新啟動伺器，再以ServerProtect手動掃瞄伺服器以確定所有可能含病毒的檔案都已經被刪除掉了。
理由：刪除掉病毒自動執行的登錄值後，再重新開機，可以確定病毒不會被執行，因此可以很確定不會殘留任何病毒。

保護您的工作站

A: 不要立刻重新開機
原因：有可能工作站只是被感染，但是病毒還沒有發作。因此如果立刻重新開機的話，有可能會造成該病毒立刻發現，而開始破壞檔案並感染其他電腦。

B: 立刻讓工作站離開網路系統（例如，拔掉網路線） 
原因：這部電腦上的病毒有可能已經發作，因此讓電腦離開網路系統可以避免這部電腦上的病毒破壞網路上的資料。

C: 移除電腦上的共享目錄或是磁碟（至少先改成只有“讀取”權限）
原因：避免在別部電腦上的病毒來破壞該電腦。

D: 使用PC-cillin或是OfficeScan掃瞄所有磁碟機（請確定使用2.062以上的掃瞄引擎及543以上的病毒碼）。如果發現病毒時，立刻刪除。完全刪除後，再重新連接網路。
原因：這時您可以很確定所有的網路環境及個人電腦上都沒有病毒。因此可以安全的重新開機。

E: 如果您發現無法刪除該病毒，那麼代表這個病毒已經在執行中，所以無法刪除。此時請用乾淨的開機片將電腦啟動到DOS模式。利用DOS下的掃瞄程式PCSCAN或是VBSCAN來找到病毒，並刪除病毒。
原因：因為這個病毒會在電腦開機並進入windows後，自動執行，所以必須進入DOS模式下來刪除檔案

注意：
當您確定所有的企業網路環境內都沒有這隻病毒後，請安裝最新的防毒軟體，並將防毒元件更新到最新的版本。同時通知所有使用筆記型電腦的同事，在連接上網路之前，請先檢查他們的筆記型電腦是沒有這隻病毒的，否則這隻病毒有可能透過這個管道再度入侵。
使用InterScan的客戶，請記得將發現病毒時需要通知寄件人的通知選項取消。否則這個造成電子郵作的無窮迴圈。