Użytkownik Pearl <p...@a...bti.pl> w wiadomości do grup dyskusyjnych
napisał:7hFo4.1088$Q...@n...tpnet.pl...

Cześć!
Jest już odpowiedź o bakcylu.
Cyt. z innej grupy:

"Kazdemu sie zdarza a w Lubzelu jest kilkaset komputerow wiec teoretycznie
wieksza szansa zlapania wirusa. Ty nigdy nic nie mials ?

Ponizej sposob radzenia sobie z tym wirusem - ze strony www.mks.com.pl

PrettyPark jest robakiem działającym w sposób bardzo zbliżony do innego
przedstawiciela tego "gatunku" - Happy99. Na szerszym forum pojawił się w
wyniku akcji spammingowej (rozsyłania niechcianej poczty), której źródłem
było konto poczty elektronicznej we Francji.

W momencie uruchomienia pliku PrettyPark.EXE, znajdującego się w załączniku
do listu elektronicznego, może pojawić się na ekranie wygaszacz ekranu "3D
Pipe", natomiast w tle robak tworzy plik o nazwie FILES32.VXD w katalogu
"WINDOWS\SYSTEM" oraz modyfikuje wpisy w Rejestrze z wartości orginalnej
"%1" %* na wartość FILES32.VXD "%1" %* dla klucza :

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\op
en\command

Po uruchomieniu programu robak stara się rozesłać samego siebie co 30 minut
do adresów zarejestrowanych w książce adresowej programu pocztowego. Poza
tym PrettyPark stara się też podłączyć do jednego z serwerów IRC i wejść na
określony kanał. Następnie robak wysyła co 30 sekund informacje na kanał
(dla utrzymania aktywnego połączenia) i oczekuje na komendy z zewnątrz za
pośrednictwem IRCa.

Oto lista serwerów IRC, do których próbuje się podłączyć PrettyPark:

irc.twiny.net
irc.stealth.net
irc.grolier.net
irc.club-internet.fr
ircnet.irc.aol.com
irc.emn.fr
irc.anet.com
irc.insat.com
irc.ncal.verio.net
irc.cifnet.com
irc.skybel.net
irc.eurecom.fr
irc.easynet.co.uk
Poprzez IRC autor, czy też dystrybutor robaka może uzyskać informacje na
temat systemu ofiary takie jak: nazwa komputera, nazwa systemu operacyjnego,
zarejestrowany użytkownik, zarejestrowana organizacja, klucz rejestracyjny,
ścieżka do katalogu systemowego, numer wersji, numer identyfikacyjny ICQ,
pseudonim ICQ, adres poczty elektronicznej, nazwa użytkownika i hasło do
połączenia typu Dial-Up. Dodatkowo podłączenie do IRC, otwiera jedną z dziur
systemowych, która potencjalnie może w pewnych warunkach zostać wykorzystana
z do zdalnych operacji na plikach.

Jak usunąć robaka PrettyPark ?

usunąć plik WINDOWS\SYSTEM\FILES32.VXD
używając Edytora Rejestrów (START > Uruchom> REGEDIT) zamienić wartość
klucza:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\op
en\command
z FILES32.VXD "%1" %* na "%1" %*
usunąć plik Pretty Park.EXE
ponownie uruchomić komputer

Uwaga ! Nie można pominąć kroku 2, gdyż może to spowodować problemy z
uruchamianiem programów."
========

--
Pozdrawiam.
Pearl