Новый вирус, схожий по действию с вирусом Mellisa, стремительно распространяется по Internet, модифицируя файлы win.ini и разрушая огромные объемы информации.
Вирус, получивший название Worm.ExplorerZip, размножается с помощью того же, что и Melissa, API-интерфейса, рассылая сообщения следующего содержания: «Здавствуйте, [имя адресата]! Я получил Ваше письмо и постараюсь как можно скорее ответить. А пока взгляните на документы в прикрепленном zip-архиве. Всего хорошего».
К письму прикреплен файл под названием Zip_files.exe, который после запуска выдает ложное сообщение об ошибке. Вирус изменяет файл win.ini так, чтобы после перезагрузки вместо стандартного обозревателя Windows запускалась программа explorer.exe, передаваемая с «архивом». Она производит поиск файлов с расширениями .с, .срр, .asm, .doc, .sls и .ptp (то есть, в частности, документов Word, Excel и PowerPoint) на локальном диске, а затем удаляет их.
Вирус производит поиск по дискам от C: до Z:, выбирает наугад ряд файлов с различными расширениями, а затем удаляет файлы или обнуляет их участки произвольной длины.
При распространении вирус пользуется не информацией из адресной книги, как Melissa, а просматривает содержимое ящика входящих сообщений, рассылая на них ответы с приведенным выше текстом.
В отличие от Melissa, при ответе Worm цитирует входную строку subject, поэтому опасность попасться на удочку вируса возрастает.
Строго говоря, Worm.ExplorerZip является не вирусом, а «червем». Вместо того чтобы, попав в систему, заразить максимальное количество файлов, такие программы стремятся доставить вредоносный «груз», а затем переместиться на новую машину.
В Антивирусный исследовательский центр компании Symantec экземпляр «червя» поступил в воскресенье 6 июня от израильского пользователя. В тот же день Центр выпустил для пользователей своей Web-службы соответствующее дополнение антивирусного ПО.
Пpоизводители антивиpусного ПО в очеpедной pаз предупреждают пользователей, что запускать незнакомые исполняемые файлы, полученные по электронной почте, опасно.