Re: [SouJava-J] C:\CoolProgs\Pretty Park.exe

Eduardo Gielamo Oliveira Wed, 24 Nov 1999 05:47:41 -0800
Sérgio,

O vírus transmitido tem o nome de "Pretty Park" e foi transmitido hoje pela
manhã.

Abaixo segue as informações sobre ele.

Tradução Estefane: http://www.hemocentro.unicamp.br/info/files32_vxd.html
Artigo Original em:
http://www.sarc.com/avcenter/venc/data/prettypark.worm.html
***************************************************
Não é um vírus, é um Worm (lombriga)
os arquivos: PrettyPark.EXE e o FILES32.VXD

Descrição
Este programa é um worm (lombriga) que se comporta semelhante ao Happy99.
Ele foi espalhado na rede através de spamming francês.

O arquivo attached  vem com o nome "PrettyPark.EXE ".
Um relatório deste worm foi enviado pelo sistema Scan&Deliver no dia 28 de
maio de 1999 da França.

Quando o programa "PrettyPark.EXE " é executado, pode exibir o descanso de
tela PIPE 3D. E também criará um arquivo chamado FILES32.VXD no diretório
WINDOWS\SYSTEM e modificará  sem seu conhecimento o valor do registry de
"%1" %* para FILES32.VXD "%1" %* no:

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

Uma vez que o worm é executado, tentará se propagar automaticamente por
e-mail à cada  30 minutos (ou 30 minutos depois de carregado) para os
endereços de e-mail cadastrados no seu Internet address book.

Também tentará se conectar a um servidor de IRC e se conectar à um canal de
IRC específico. O worm enviará informações a cada 30 segundos para se manter
conectado, e enviará qualquer comando no canal IRC.

Pelo IRC, o autor ou o distribuidor do worm pode obter informações do
sistema, inclusive o nome do computador, nome de produto, identificar o
produto, dono do produto, registro, registro organizado, path raiz do
sistema, versão, número da versão, identificação de ICQ, apelido no ICQ,
endereço de e-mail para próximas vítimas, e Discar para o seu provedor
usando seu username e password. Também, se conectado a IRC abre um buraco na
segurança, no qual o cliente pode ser usado para  receber e executar
arquivos.

Consertando o estrago:
Removendo o worm manualmente:

1.Use o REGEDIT, e modifique a entrada do Registry
   HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

   Troque o FILES32.VXD "%1" %*por"%1" %*

   Você pode executar o REGEDIT através do Iniciar-Executar do Windows.
   Então procure por "FILES32.VXD" no REGEDIT.

2.Delete o arquivo WINDOWS\SYSTEM\FILES32.VXD
3.Delete o arquivo "Pretty Park.EXE".
4.Reboot seu computador.

Você tem fazer os passos à partir do ítem #1 acima; pois caso passe algum
antivírus e ele simplesmente apagar o FILES32.VXD os arquivos executáveis de
seu micro não irão executar corretamente.

Computação segura
Este worm, e outros programas do tipo cavalo-de-tróia, demonstra a
necessidade de se praticar computação segura. Você deve se precaver ao
executar algum tipo de arquivo (EXE, SHS, MS Word ou MS Excel) que venha
anexado (attachment) em seu e-mail, principalmente se vem de alguém
desconhecido ou de algum newsgroup. Estes arquivos sempre devem ser
scaneados através de algum Antivírus como o Scan da Mcafee ou o Norton,
usando seus DAT´s mais recentes.


----- Original Message -----
From: Sérgio Figueiredo Pereira <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Cc: <[EMAIL PROTECTED]>
Sent: Wednesday, November 24, 1999 12:04 PM
Subject: RE: [SouJava-J] C:\CoolProgs\Pretty Park.exe


> Eduardo,  por favor. Gostaria de saber qual foi o vírus transmitido.  Em
que
> data foi ?  Qual a área de atuação desse vírus ? É algum já conhecido ? Ou
> seja,  já catalogado pelos "anti-virus" mais recentes ?
>
> Eu acesso a "lista" da empresa onde trabalho - COSIPA e tenho receio de um
> provável "contágio" na nossa Rede. Embora nos preocupamos, quanto ao
aspecto
> "segurança", isso ainda não nos dá total confiança.
>
> Desde já agradeço sua preocupação em nos avisar.
>
> Figueiredo
> [EMAIL PROTECTED]
> fone (0-xx-13) 3622682
> > ----------
> > De: Eduardo Gielamo Oliveira[SMTP:[EMAIL PROTECTED]]
> > Responder: [EMAIL PROTECTED]
> > Enviada: Wednesday, November 24, 1999 8:40 AM
> > Para: [EMAIL PROTECTED]
> > Assunto: Re: [SouJava-J] C:\CoolProgs\Pretty Park.exe
> >
> > Lista,
> >
> > Peço desculpas pelo vírus transmitido. Ele se propaga sozinho,
utilizando
> > a lista de endereços do usuário. Então, deixo claro que não foi minha
> > intenção causar danos a ninguém.
> >
> > Obrigado pela atenção!
> >
> >
> > Eduardo Gielamo Oliveira
> > DGA - UNICAMP
> > Conectividade
> >
> >     --------------------------- LISTA
SOUJAVA ---------------------------
> >     http://www.soujava.org.br  -  Sociedade de Usuários Java da
Sucesu-SP
> >     [para sair da lista:
http://www.soujava.org.br/forum/cadastrados.htm]
>
  ---------------------------------------------------------------------
> >
>

    --------------------------- LISTA SOUJAVA ---------------------------
    http://www.soujava.org.br  -  Sociedade de Usuários Java da Sucesu-SP
    [para sair da lista: http://www.soujava.org.br/forum/cadastrados.htm]
    ---------------------------------------------------------------------
Re: [SouJava-J] C:\CoolProgs\Pretty Park.exe

Responder a
