|
|
| Nombre: | W32/PrettyPark.worm Alias: Pretty Worm, PrettyPark, Trojan.PSW,CHV |
| Tipo: |
Gusano |
| Tamaño |
37Kb (original), 60Kb (Variante .unp) |
| Origen: | Francia |
| Destructivo: | NO |
| En la calle (in the wild): | SI |
| Variantes conocidas: | W32/Prettypark.worm (06/Julio/1999,
The Hacker 4.5 y posterior) - W32/Prettypark.worm.unp (01/03/2000, The Hacker 4.8 y posterior) |
Descripción
W32/PrettyPark es un gusano que llega por E-mail en el archivo "Pretty Park.EXE" con un icono de un muñeco de la serie "SouthPark".
Al abrir el archivo infectado PrettyPark.Exe el gusano se copia al folder Windows\System como FILES32.VXD y modifica una llave en el registro para ejecutarse en forma automática cada vez que se abre una aplicación tipo .Exe, todas las aplicaciones .Exe se vuelven dependientes del archivo files32.Vxd y dejarán de funcionar si este archivo es borrado del disco.
Llave del registro modificada: HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command
Una vez activo el gusano, se envía automáticamente a todas las direcciones del Libro de direcciones Internet cada 30 minutos.
El gusano tiene backdoors, se conecta a varios servidores IRC y se une a un canal "avisando" que la PC está disponible. Hipotéticamente el autor del gusano vía el IRC puede obtener información de nuestra PC como password, archivos, etc.
ACTUALIZACION
01/03/2000: A finales de febrero del 2000 se detectó una variante descomprimida conocida como W32/PrettPark.worm.unp, esta variante ha sido alterada para evitar ser detectada por todos los antivirus del mercado, por lo demás la funcionalidad de este gusano es idéntica al original.
LIMPIANDO W32/PrettyPark.worm y W32/PrettyPark.worm.unp DE UNA PC
Como se indicó anteriormente el gusano reside en el archivo files32.vxd. Para limpiar el gusano de la PC el archivo files32.vxd debe ser borrado del disco duro pero antes se debe corregir la llave en el registro que hace dependiente las aplicaciones .Exe de este archivo.
Aquí los pasos para limpiar el gusano:
1- Si no tiene el archivo pretty.reg bajelo desde http://www.hacksoft.com.pe/pretty.reg , este archivo contiene los pasos necesarios para eliminar la llave en el registro modificada por el gusano.
2- Abra el archivo pretty.reg con el explorador de Windows, cuando el Explorador de Windows pregunte si desea actualizar el registro indique que SI.
Este paso recupera la llave del registro modificada por el virus.
3- Borre el archivo files32.vxd que se encuentra en Windows\System.
El archivo puede ser borrado con el Explorador de Windows, vía MS-DOS o con The Hacker indicando en la acción "Detectar y Borrar"
4- El virus está fuera!
Nota: El archivo pretty.reg puede ser creado con un editor de texto como NOTEPAD.EXE y debe tener el siguiente contenido:
REGEDIT4
[HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command]
@="\"%1\" %*"
Derechos reservados 1992/2002 HackSoft S.R.L. Lima-Perú