Caro Sr.Sérgio, segue abaixo maiores informações sobre o vírus, que na
realidade é mais exatamente um "worm".
Lembro que tal mensagem está sendo enviada com o propósito de esclarecer
o ocorrido a todos - por isso o off-topic - e parabenizo a atitude
louvável do Sr.Eduardo Gielamo Oliveira pelo aviso.
Atenciosamente, Alexandre Oliveira.
Virus Name
W32/Pretty.Worm
Date Added
6/8/99
Virus Characteristics
This is a worm that infects Windows 9x/NT files. It
arrives via email from
infected users.
Indications Of Infection
This program, when run, will display a "3D Pipe" screen
saver and then will
copy itself to FILES32.VXD in WINDOWS\SYSTEM folder. It
then modifies
the registry key value "command" located in the location:
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open
from "%1" %* to FILES32.VXD "%1" %*. This in essence will
cause the
FILES32.VXD to run during the execution of any exe file.
This worm will try to email itself automatically every 30
minutes to all email
addresses listed in the Internet address book. A second
function of this worm
is that it will also try to connect to an IRC server and
join a specific IRC
channel. While connected, this worm tries to stay
connected by sending
information to the IRC server, and will also retrieve any
commands from the
IRC channel. While on the determined IRC server, the
author of this worm
could use the connection as a remote access trojan in
order to get information
such as the computer name, registered owner, registered
organization,
system root path, and Dial Up Networking username and
passwords.
Method Of Infection
Direct execution of the file "Pretty Park.exe".
Removal
Removal is a manual process. Use the following registry
information to repair
the now modified system registry. Open NOTEPAD and cut and
paste this
info into a NOTEPAD file; make sure that after the content
is pasted into the
file that the format is not all on one line. Save the
NOTEPAD file as "undo.reg"
to the desktop. Double click this file to repair the
registry.
----------begin,cut after this line----------
REGEDIT4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
@="\"%1\" %*"
----------end,cut before this line---------
* AVERT Note *
In notepad it you cut and paste this information it will
paste as such
REGEDIT4
[HKEY_CLASSES_ROOT\exefile\shell\open\command] @="\"%1\"
%*"
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
@="\"%1\" %*"
The problem here is that the .reg file will not work this
way. It must be exactly
the way it shown between the dashed lines. After repairing
the registry, delete
the files FILES32.VXD and PrettyPark.exe. Reboot the
computer. Failure to
repair the registry will cause applications not to run.
Virus Information
Discovery Date:
5/26/99
Origin:
France
Type:
Win32
Risk Assessment:
Medium, On Watch
Minimum DAT:
4029
Variants
Unknown
Aliases
Pretty Worm, PrettyPark, Pretty Park
visite : http://vil.nai.com/vil/vpe10175.asp
Sérgio Figueiredo Pereira wrote:
>
> Eduardo, por favor. Gostaria de saber qual foi o vírus transmitido. Em que
> data foi ? Qual a área de atuação desse vírus ? É algum já conhecido ? Ou
> seja, já catalogado pelos "anti-virus" mais recentes ?
>
> Eu acesso a "lista" da empresa onde trabalho - COSIPA e tenho receio de um
> provável "contágio" na nossa Rede. Embora nos preocupamos, quanto ao aspecto
> "segurança", isso ainda não nos dá total confiança.
>
> Desde já agradeço sua preocupação em nos avisar.
>
> Figueiredo
> [EMAIL PROTECTED]
> fone (0-xx-13) 3622682
> > ----------
> > De: Eduardo Gielamo Oliveira[SMTP:[EMAIL PROTECTED]]
> > Responder: [EMAIL PROTECTED]
> > Enviada: Wednesday, November 24, 1999 8:40 AM
> > Para: [EMAIL PROTECTED]
> > Assunto: Re: [SouJava-J] C:\CoolProgs\Pretty Park.exe
> >
> > Lista,
> >
> > Peço desculpas pelo vírus transmitido. Ele se propaga sozinho, utilizando
> > a lista de endereços do usuário. Então, deixo claro que não foi minha
> > intenção causar danos a ninguém.
> >
> > Obrigado pela atenção!
> >
> >
> > Eduardo Gielamo Oliveira
> > DGA - UNICAMP
> > Conectividade
> >
> > --------------------------- LISTA SOUJAVA ---------------------------
> > http://www.soujava.org.br - Sociedade de Usuários Java da Sucesu-SP
> > [para sair da lista: http://www.soujava.org.br/forum/cadastrados.htm]
> > ---------------------------------------------------------------------
> >
>
> --------------------------- LISTA SOUJAVA ---------------------------
> http://www.soujava.org.br - Sociedade de Usuários Java da Sucesu-SP
> [para sair da lista: http://www.soujava.org.br/forum/cadastrados.htm]
> ---------------------------------------------------------------------
--------------------------- LISTA SOUJAVA ---------------------------
http://www.soujava.org.br - Sociedade de Usuários Java da Sucesu-SP
[para sair da lista: http://www.soujava.org.br/forum/cadastrados.htm]
---------------------------------------------------------------------
