« poprzedni wątek | następny wątek » |
1. Data: 2000-04-27 08:50:48
Temat: Pretty Park OT ale wazneOstrzegam wszystkich: Przed chwila dostalam poczte zawierajaca
powyzszy plik, poniewaz nadawca byla Basia, wiec bez obawy sciagnelam,
na szczescie mam Mks_vira, ktory nie pozwolil mi zapisac tego pliku,
wykrywajac w nim wirusa nie do usuniecia, po wymianie postow z Basia,
okazalo sie ze ktos sie podszywa pod jej adres,
dlatego_ostrzegam_wszystkich. Ulka
--
25MB e-mail, 10MB WWW, PHP, Perl, SSI - WEB Pack - http://rubikon.pl
› Pokaż wiadomość z nagłówkami
Zobacz także
2. Data: 2000-04-27 10:27:49
Temat: Re: Pretty Park OT ale wazne
Szanowny (-a) Ulka <u...@p...onet.pl> wyklepał (-a) takie oto coś:
> po wymianie postow z Basia,
> okazalo sie ze ktos sie podszywa pod jej adres,
> dlatego_ostrzegam_wszystkich. Ulka
Nie podszywa - taka jest zasada dzialania tego wirusa: rezyduje w
programie pocztowym i po uruchomieniu komputera rozsyla sie
automatycznie do odbiorcow z ksiazki adresowej. Tez go dostalem od Basi
dzis rano :), ale to nie jej wina.
Rada dla Basi - przeczysc komputer programem antywirusowym, dla
pozostalych - nie otwierajcie zadnych zalacznikow, jesli nie wiecie co
jest w srodku (zwlaszcza z plikiem PrettyPrak.exe).
JaS
› Pokaż wiadomość z nagłówkami
3. Data: 2000-04-27 10:27:49
Temat: Re: Pretty Park OT ale wazne
Szanowny (-a) Ulka <u...@p...onet.pl> wyklepał (-a) takie oto coś:
> po wymianie postow z Basia,
> okazalo sie ze ktos sie podszywa pod jej adres,
> dlatego_ostrzegam_wszystkich. Ulka
Nie podszywa - taka jest zasada dzialania tego wirusa: rezyduje w
programie pocztowym i po uruchomieniu komputera rozsyla sie
automatycznie do odbiorcow z ksiazki adresowej. Tez go dostalem od Basi
dzis rano :), ale to nie jej wina.
Rada dla Basi - przeczysc komputer programem antywirusowym, dla
pozostalych - nie otwierajcie zadnych zalacznikow, jesli nie wiecie co
jest w srodku (zwlaszcza z plikiem PrettyPrak.exe).
JaS
› Pokaż wiadomość z nagłówkami
4. Data: 2000-04-27 11:19:53
Temat: Re: Pretty Park OT ale wazneA w ogole to wyrzuccie Outlooka a zainstalujcie Netscape!
Grzegorz Karolczak wrote:
> JaS napisał(a) w wiadomości: <8e94nb$n27$1@aquarius.webcorp.com.pl>...
>
> >Rada dla Basi - przeczysc komputer programem antywirusowym, dla
> >pozostalych - nie otwierajcie zadnych zalacznikow, jesli nie wiecie co
> >jest w srodku (zwlaszcza z plikiem PrettyPrak.exe).
>
> Wogole nie otwierajcie zadnych zalacznikow typu exe! Ale niedawno tez
> dostalem wirusa w pliku doc. :-(
> Pozdrawiam
> Grzegorz
--
Maciej Szmit M.Sc.
http://www.iw.lodz.pl/MSzmit
› Pokaż wiadomość z nagłówkami
5. Data: 2000-04-27 11:20:34
Temat: Re: Pretty Park OT ale wazne
JaS napisał(a) w wiadomości: <8e94nb$n27$1@aquarius.webcorp.com.pl>...
>Rada dla Basi - przeczysc komputer programem antywirusowym, dla
>pozostalych - nie otwierajcie zadnych zalacznikow, jesli nie wiecie co
>jest w srodku (zwlaszcza z plikiem PrettyPrak.exe).
Wogole nie otwierajcie zadnych zalacznikow typu exe! Ale niedawno tez
dostalem wirusa w pliku doc. :-(
Pozdrawiam
Grzegorz
› Pokaż wiadomość z nagłówkami
6. Data: 2000-04-27 14:25:02
Temat: Re: Pretty Park OT ale wazneNiestety Netszkapa nie ma obslugo wielu kont w POP3
A wirusa od Basi dostalam i niestety poszedl dalej
A
-------------Z motyką na słońce------------
<s...@f...edu.pl>
› Pokaż wiadomość z nagłówkami
7. Data: 2000-04-27 14:53:34
Temat: Re: Pretty Park OT ale waznePrzesyłam informacje nt. wirusa Pretty Park
__________________________________
16 czerwca 1999
Co nowego ? - PrettyPark - brat Happy'ego ?
PrettyPark jest robakiem działającym w sposób bardzo zbliżony do innego
przedstawiciela tego "gatunku" - Happy99. Na szerszym forum pojawił się w
wyniku akcji spammingowej (rozsyłania niechcianej poczty), której źródłem
było konto poczty elektronicznej we Francji.
W momencie uruchomienia pliku PrettyPark.EXE, znajdującego się w załączniku
do listu elektronicznego, może pojawić się na ekranie wygaszacz ekranu "3D
Pipe", natomiast w tle robak tworzy plik o nazwie FILES32.VXD w katalogu
"WINDOWS\SYSTEM" oraz modyfikuje wpisy w Rejestrze z wartości orginalnej
"%1" %* na wartość FILES32.VXD "%1" %* dla klucza :
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\op
en\command
Po uruchomieniu programu robak stara się rozesłać samego siebie co 30 minut
do adresów zarejestrowanych w książce adresowej programu pocztowego. Poza
tym PrettyPark stara się też podłączyć do jednego z serwerów IRC i wejść na
określony kanał. Następnie robak wysyła co 30 sekund informacje na kanał
(dla utrzymania aktywnego połączenia) i oczekuje na komendy z zewnątrz za
pośrednictwem IRCa.
Oto lista serwerów IRC, do których próbuje się podłączyć PrettyPark:
irc.twiny.net
irc.stealth.net
irc.grolier.net
irc.club-internet.fr
ircnet.irc.aol.com
irc.emn.fr
irc.anet.com
irc.insat.com
irc.ncal.verio.net
irc.cifnet.com
irc.skybel.net
irc.eurecom.fr
irc.easynet.co.uk
Poprzez IRC autor, czy też dystrybutor robaka może uzyskać informacje na
temat systemu ofiary takie jak: nazwa komputera, nazwa systemu operacyjnego,
zarejestrowany użytkownik, zarejestrowana organizacja, klucz rejestracyjny,
ścieżka do katalogu systemowego, numer wersji, numer identyfikacyjny ICQ,
pseudonim ICQ, adres poczty elektronicznej, nazwa użytkownika i hasło do
połączenia typu Dial-Up. Dodatkowo podłączenie do IRC, otwiera jedną z dziur
systemowych, która potencjalnie może w pewnych warunkach zostać wykorzystana
z do zdalnych operacji na plikach.
Jak usunąć robaka PrettyPark ?
używając Edytora Rejestrów (START > Uruchom> REGEDIT) zamienić wartość
klucza:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\op
en\command
i/lub klucza:
HKEY_CLASSES_ROOT\exefile\shell\open\command
z FILES32.VXD "%1" %* na "%1" %*
używając Edytora Rejestrów usunąć wpisy uruchamiające robaka z klucza:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\Curren
tVersion\Run
używając Edytora Rejestrów usunąć klucz (jeżeli istnieje):
HKEY_CLASSES_ROOT\.dl
ponownie uruchomić komputer
usunąć plik WINDOWS\SYSTEM\FILES32.VXD
usunąć plik Pretty Park.EXE
Uwaga ! Nie można pominąć kroku 1, gdyż może to spowodować problemy z
uruchamianiem programów.
Alternatywnie można użyć zewnętrznego pliku Rejestru do pobrania >tutaj<.
Plik należy zapisać na dysk, a następnie uruchomić.
Pozdrowienia Anka
-------------Z motyką na słońce------------
<s...@f...edu.pl>
› Pokaż wiadomość z nagłówkami
« poprzedni wątek | następny wątek » |