Re: [SouJava-J] C:\CoolProgs\Pretty Park.exe

Eduardo Gielamo Oliveira Wed, 24 Nov 1999 05:47:41 -0800
S�rgio,

O v�rus transmitido tem o nome de "Pretty Park" e foi transmitido hoje pela
manh�.

Abaixo segue as informa��es sobre ele.

Tradu��o Estefane: http://www.hemocentro.unicamp.br/info/files32_vxd.html
Artigo Original em:
http://www.sarc.com/avcenter/venc/data/prettypark.worm.html
***************************************************
N�o � um v�rus, � um Worm (lombriga)
os arquivos: PrettyPark.EXE e o FILES32.VXD

Descri��o
Este programa � um worm (lombriga) que se comporta semelhante ao Happy99.
Ele foi espalhado na rede atrav�s de spamming franc�s.

O arquivo attached  vem com o nome "PrettyPark.EXE ".
Um relat�rio deste worm foi enviado pelo sistema Scan&Deliver no dia 28 de
maio de 1999 da Fran�a.

Quando o programa "PrettyPark.EXE " � executado, pode exibir o descanso de
tela PIPE 3D. E tamb�m criar� um arquivo chamado FILES32.VXD no diret�rio
WINDOWS\SYSTEM e modificar�  sem seu conhecimento o valor do registry de
"%1" %* para FILES32.VXD "%1" %* no:

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

Uma vez que o worm � executado, tentar� se propagar automaticamente por
e-mail � cada  30 minutos (ou 30 minutos depois de carregado) para os
endere�os de e-mail cadastrados no seu Internet address book.

Tamb�m tentar� se conectar a um servidor de IRC e se conectar � um canal de
IRC espec�fico. O worm enviar� informa��es a cada 30 segundos para se manter
conectado, e enviar� qualquer comando no canal IRC.

Pelo IRC, o autor ou o distribuidor do worm pode obter informa��es do
sistema, inclusive o nome do computador, nome de produto, identificar o
produto, dono do produto, registro, registro organizado, path raiz do
sistema, vers�o, n�mero da vers�o, identifica��o de ICQ, apelido no ICQ,
endere�o de e-mail para pr�ximas v�timas, e Discar para o seu provedor
usando seu username e password. Tamb�m, se conectado a IRC abre um buraco na
seguran�a, no qual o cliente pode ser usado para  receber e executar
arquivos.

Consertando o estrago:
Removendo o worm manualmente:

1.Use o REGEDIT, e modifique a entrada do Registry
   HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

   Troque o FILES32.VXD "%1" %*por"%1" %*

   Voc� pode executar o REGEDIT atrav�s do Iniciar-Executar do Windows.
   Ent�o procure por "FILES32.VXD" no REGEDIT.

2.Delete o arquivo WINDOWS\SYSTEM\FILES32.VXD
3.Delete o arquivo "Pretty Park.EXE".
4.Reboot seu computador.

Voc� tem fazer os passos � partir do �tem #1 acima; pois caso passe algum
antiv�rus e ele simplesmente apagar o FILES32.VXD os arquivos execut�veis de
seu micro n�o ir�o executar corretamente.

Computa��o segura
Este worm, e outros programas do tipo cavalo-de-tr�ia, demonstra a
necessidade de se praticar computa��o segura. Voc� deve se precaver ao
executar algum tipo de arquivo (EXE, SHS, MS Word ou MS Excel) que venha
anexado (attachment) em seu e-mail, principalmente se vem de algu�m
desconhecido ou de algum newsgroup. Estes arquivos sempre devem ser
scaneados atrav�s de algum Antiv�rus como o Scan da Mcafee ou o Norton,
usando seus DAT�s mais recentes.


----- Original Message -----
From: S�rgio Figueiredo Pereira <[EMAIL PROTECTED]>
To: <[EMAIL PROTECTED]>
Cc: <[EMAIL PROTECTED]>
Sent: Wednesday, November 24, 1999 12:04 PM
Subject: RE: [SouJava-J] C:\CoolProgs\Pretty Park.exe


> Eduardo,  por favor. Gostaria de saber qual foi o v�rus transmitido.  Em
que
> data foi ?  Qual a �rea de atua��o desse v�rus ? � algum j� conhecido ? Ou
> seja,  j� catalogado pelos "anti-virus" mais recentes ?
>
> Eu acesso a "lista" da empresa onde trabalho - COSIPA e tenho receio de um
> prov�vel "cont�gio" na nossa Rede. Embora nos preocupamos, quanto ao
aspecto
> "seguran�a", isso ainda n�o nos d� total confian�a.
>
> Desde j� agrade�o sua preocupa��o em nos avisar.
>
> Figueiredo
> [EMAIL PROTECTED]
> fone (0-xx-13) 3622682
> > ----------
> > De: Eduardo Gielamo Oliveira[SMTP:[EMAIL PROTECTED]]
> > Responder: [EMAIL PROTECTED]
> > Enviada: Wednesday, November 24, 1999 8:40 AM
> > Para: [EMAIL PROTECTED]
> > Assunto: Re: [SouJava-J] C:\CoolProgs\Pretty Park.exe
> >
> > Lista,
> >
> > Pe�o desculpas pelo v�rus transmitido. Ele se propaga sozinho,
utilizando
> > a lista de endere�os do usu�rio. Ent�o, deixo claro que n�o foi minha
> > inten��o causar danos a ningu�m.
> >
> > Obrigado pela aten��o!
> >
> >
> > Eduardo Gielamo Oliveira
> > DGA - UNICAMP
> > Conectividade
> >
> >     --------------------------- LISTA
SOUJAVA ---------------------------
> >     http://www.soujava.org.br  -  Sociedade de Usu�rios Java da
Sucesu-SP
> >     [para sair da lista:
http://www.soujava.org.br/forum/cadastrados.htm]
>
  ---------------------------------------------------------------------
> >
>

    --------------------------- LISTA SOUJAVA ---------------------------
    http://www.soujava.org.br  -  Sociedade de Usu�rios Java da Sucesu-SP
    [para sair da lista: http://www.soujava.org.br/forum/cadastrados.htm]
    ---------------------------------------------------------------------
Re: [SouJava-J] C:\CoolProgs\Pretty Park.exe

Responder a
