Sérgio,
O vírus transmitido tem o nome de "Pretty Park" e foi transmitido hoje pela
manhã.
Abaixo segue as informações sobre ele.
Tradução Estefane: http://www.hemocentro.unicamp.br/info/files32_vxd.html
Artigo Original em:
http://www.sarc.com/avcenter/venc/data/prettypark.worm.html
***************************************************
Não é um vírus, é um Worm (lombriga)
os arquivos: PrettyPark.EXE e o FILES32.VXD
Descrição
Este programa é um worm (lombriga) que se comporta semelhante ao Happy99.
Ele foi espalhado na rede através de spamming francês.
O arquivo attached vem com o nome "PrettyPark.EXE ".
Um relatório deste worm foi enviado pelo sistema Scan&Deliver no dia 28 de
maio de 1999 da França.
Quando o programa "PrettyPark.EXE " é executado, pode exibir o descanso de
tela PIPE 3D. E também criará um arquivo chamado FILES32.VXD no diretório
WINDOWS\SYSTEM e modificará sem seu conhecimento o valor do registry de
"%1" %* para FILES32.VXD "%1" %* no:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
Uma vez que o worm é executado, tentará se propagar automaticamente por
e-mail à cada 30 minutos (ou 30 minutos depois de carregado) para os
endereços de e-mail cadastrados no seu Internet address book.
Também tentará se conectar a um servidor de IRC e se conectar à um canal de
IRC específico. O worm enviará informações a cada 30 segundos para se manter
conectado, e enviará qualquer comando no canal IRC.
Pelo IRC, o autor ou o distribuidor do worm pode obter informações do
sistema, inclusive o nome do computador, nome de produto, identificar o
produto, dono do produto, registro, registro organizado, path raiz do
sistema, versão, número da versão, identificação de ICQ, apelido no ICQ,
endereço de e-mail para próximas vítimas, e Discar para o seu provedor
usando seu username e password. Também, se conectado a IRC abre um buraco na
segurança, no qual o cliente pode ser usado para receber e executar
arquivos.
Consertando o estrago:
Removendo o worm manualmente:
1.Use o REGEDIT, e modifique a entrada do Registry
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
Troque o FILES32.VXD "%1" %*por"%1" %*
Você pode executar o REGEDIT através do Iniciar-Executar do Windows.
Então procure por "FILES32.VXD" no REGEDIT.
2.Delete o arquivo WINDOWS\SYSTEM\FILES32.VXD
3.Delete o arquivo "Pretty Park.EXE".
4.Reboot seu computador.
Você tem fazer os passos à partir do ítem #1 acima; pois caso passe algum
antivírus e ele simplesmente apagar o FILES32.VXD os arquivos executáveis de
seu micro não irão executar corretamente.
Computação segura
Este worm, e outros programas do tipo cavalo-de-tróia, demonstra a
necessidade de se praticar computação segura. Você deve se precaver ao
executar algum tipo de arquivo (EXE, SHS, MS Word ou MS Excel) que venha
anexado (attachment) em seu e-mail, principalmente se vem de alguém
desconhecido ou de algum newsgroup. Estes arquivos sempre devem ser
scaneados através de algum Antivírus como o Scan da Mcafee ou o Norton,
usando seus DAT´s mais recentes.
----- Original Message -----
From: Sérgio Figueiredo Pereira <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Cc: <[EMAIL PROTECTED]>
Sent: Wednesday, November 24, 1999 12:04 PM
Subject: RE: [SouJava-J] C:\CoolProgs\Pretty Park.exe
> Eduardo, por favor. Gostaria de saber qual foi o vírus transmitido. Em
que
> data foi ? Qual a área de atuação desse vírus ? É algum já conhecido ? Ou
> seja, já catalogado pelos "anti-virus" mais recentes ?
>
> Eu acesso a "lista" da empresa onde trabalho - COSIPA e tenho receio de um
> provável "contágio" na nossa Rede. Embora nos preocupamos, quanto ao
aspecto
> "segurança", isso ainda não nos dá total confiança.
>
> Desde já agradeço sua preocupação em nos avisar.
>
> Figueiredo
> [EMAIL PROTECTED]
> fone (0-xx-13) 3622682
> > ----------
> > De: Eduardo Gielamo Oliveira[SMTP:[EMAIL PROTECTED]]
> > Responder: [EMAIL PROTECTED]
> > Enviada: Wednesday, November 24, 1999 8:40 AM
> > Para: [EMAIL PROTECTED]
> > Assunto: Re: [SouJava-J] C:\CoolProgs\Pretty Park.exe
> >
> > Lista,
> >
> > Peço desculpas pelo vírus transmitido. Ele se propaga sozinho,
utilizando
> > a lista de endereços do usuário. Então, deixo claro que não foi minha
> > intenção causar danos a ninguém.
> >
> > Obrigado pela atenção!
> >
> >
> > Eduardo Gielamo Oliveira
> > DGA - UNICAMP
> > Conectividade
> >
> > --------------------------- LISTA
SOUJAVA ---------------------------
> > http://www.soujava.org.br - Sociedade de Usuários Java da
Sucesu-SP
> > [para sair da lista:
http://www.soujava.org.br/forum/cadastrados.htm]
>
---------------------------------------------------------------------
> >
>
--------------------------- LISTA SOUJAVA ---------------------------
http://www.soujava.org.br - Sociedade de Usuários Java da Sucesu-SP
[para sair da lista: http://www.soujava.org.br/forum/cadastrados.htm]
---------------------------------------------------------------------