如何对付“探险虫”病毒 -天瑞科技，深圳电脑维修，深圳电脑维护

继Melissa（梅莉莎）之後，这两天最“吃香”的病毒就是Worm ExploreZip了，也有叫她I-WormZippedFiles，W32/ExploreZip.worm 的，台湾现在的叫法是探险虫。
　　这种病毒的危险性被定义为“非常危险”，破坏力比Melissa（梅莉莎）要强得多。该病毒发作时将搜索硬盘，病毒会攻击：

C，（c源程序）
H，（c头文件）
CPP，（C++源文件）
ASM，（汇编源文件）
DOC，（word文档）
XLS，（excel文件）
PPT（powerpoint文件）

　　将搜索到的文件用0清空，这种破坏是不可恢复的，太可怕了！！！！攻击的全是我们的心血。

　　该病毒感染方式和Melissa（梅莉莎）一样，也属于特洛依木马，通过Email传播。目前传递的附件名称是Zipped_files.exe。

　　传播是是通过reply的方式进行，因此具有相当的隐蔽性。受到感染的电脑会利用标准的MAPI功能，因此使用MS Outlook， MS Outlook Express， MS Exchange 的用户都会受到影响

　　比如说如果b给受到感染的a发一封email，标题为hello。受到感染的电脑会在a不知情的状况下，自动将zipped_files.exe以附件的方式，回复给b。b会看到这样一份email

发件人：a
标题：Re：hello

内容：“Hi b! I received your email and I shall send you a reply ASAP. Till then, take a look at the attached zipped docs. bye”

附件：zipped_files.exe

　　如果b运行这个附件，他就会得到这样一条很专业的假信息：
Cannot open file: it does not appear to be a valid archive. If this file is part of a ZIP format backup set, insert the last disk of the backup set and try again. Please press F1 for help.

　　但这时,病毒已经完成了她的复制过程。在95/98的环境下，病毒会把自己拷贝到c:\windows\system目录下，名称为Explore.exe，同时修改win.ini 增加一句run=C:\WINDOWS\SYSTEM\Explore.exe ，以使病毒自动执行

　　在Windows NT的环境下病毒则修改registry。在HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows 的 run 这个值改为c:\winnt\system32\Explore.exe。

　　病毒长度210Kb，估计是用delphi编的，因为大部分内容都是delphi的runtime库，实际代码仅10kb左右

　　病毒是驻留型的，如果使用Ctrl-Alt-Del调出任务表，会发现Zipped_files的运行程序

　　病毒最早在6月6日被报道，来源估计是以色列，目前美国、德国、以色列、捷克、挪威相继都有报告，台湾在6月11日也发现了该病毒。由于是通过email传播，因此传播速度非常快。

手工杀毒

Windows 95/98

1、修改win.ini。将run=C:\WINDOWS\SYSTEM\Explore.exe这一行删除，
2、重新开机删除C:\WINDOWS\SYSTEM\EXPLORE.EXE。

Windows NT
1、运行regedit。将HKEY_CURRENT_USER\Software\Microsoft\WindowsNT\CurrentVersion\Windows 下run这个值填空。
2、重新开机，删除C:\WINNT\SYSTEM32\EXPLORE.EXE

　　删除文件的同时记得同时检查一下temp文件夹。

病毒档案：

名称：Worm.ExploreZip
别名：I-Worm.ZippedFiles，W32/ExploreZip.worm，探险虫
长度：210,432 bytes
位置：C:\Windows\System\， Email Attachments
类型：Trojan Horse
报告日期：June 6, 1999
危险程度：非常危险