logo
microskop  
 WIRÓS
  czyli jak zwalczac wirusy Happy99, oraz PrettyPark.


PRETTYPARK
OPIS
PrettyPark jest robakiem działającym w sposób bardzo zbliżony do innego przedstawiciela tego "gatunku" - Happy99. Na szerszym forum pojawił się w wyniku akcji spammingowej (rozsyłania niechcianej poczty), której źródłem było konto poczty elektronicznej we Francji.

DZIAŁANIE
W momencie uruchomienia pliku PrettyPark.EXE, znajdującego się w załączniku do listu elektronicznego, może pojawić się na ekranie wygaszacz ekranu "3D Pipe", natomiast w tle robak tworzy plik o nazwie FILES32.VXD w katalogu "WINDOWS\SYSTEM" oraz modyfikuje wpisy w Rejestrze z wartości orginalnej "%1" %* na wartość FILES32.VXD "%1" %* dla klucza :

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

Po uruchomieniu programu robak stara się rozesłać samego siebie co 30 minut do adresów zarejestrowanych w książce adresowej programu pocztowego. Poza tym PrettyPark stara się też podłączyć do jednego z serwerów IRC i wejść na określony kanał. Następnie robak wysyła co 30 sekund informacje na kanał (dla utrzymania aktywnego połączenia) i oczekuje na komendy z zewnątrz za pośrednictwem IRCa.

Oto lista serwerów IRC, do których próbuje się podłączyć PrettyPark:
irc.twiny.net
irc.stealth.net
irc.grolier.net
irc.club-internet.fr
ircnet.irc.aol.com
irc.emn.fr
irc.anet.com
irc.insat.com
irc.ncal.verio.net
irc.cifnet.com
irc.skybel.net
irc.eurecom.fr
irc.easynet.co.uk
Poprzez IRC autor, czy też dystrybutor robaka może uzyskać informacje na temat systemu ofiary takie jak: nazwa komputera, nazwa systemu operacyjnego, zarejestrowany użytkownik, zarejestrowana organizacja, klucz rejestracyjny, ścieżka do katalogu systemowego, numer wersji, numer identyfikacyjny ICQ, pseudonim ICQ, adres poczty elektronicznej, nazwa użytkownika i hasło do połączenia typu Dial-Up. Dodatkowo podłączenie do IRC, otwiera jedną z dziur systemowych, która potencjalnie może w pewnych warunkach zostać wykorzystana z do zdalnych operacji na plikach.

LECZENIE
Używając Edytora Rejestrów (START > Uruchom> REGEDIT) zamienić wartość klucza:
HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
i/lub klucza:
HKEY_CLASSES_ROOT\exefile\shell\open\command
z FILES32.VXD "%1" %* na "%1" %*
 
używając Edytora Rejestrów usunąć wpisy uruchamiające robaka z klucza:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
 
używając Edytora Rejestrów usunąć klucz (jeżeli istnieje):
HKEY_CLASSES_ROOT\.dl
 
ponownie uruchomić komputer
 
usunąć plik
WINDOWS\SYSTEM\FILES32.VXD
 
usunąć plik
Pretty Park.EXE

Uwaga ! Nie można pominąć pierwszego kroku, gdyż mogłoby to spowodować problemy z uruchamianiem programów.



Powiadom znajomych o tym wirusie, najlepiej podaj adres tej instrukcji, to jest http://cis.art.pl/PODWORKO/WIRUS/

POWODZENIA !!!!! Opis zaczerpniety z mks_vir

HAPPY99
ZARAZENIE
Odebrales poczte z zalacznikiem happy99.exe uruchomiles go i nic sie nie stalo, tylko na czarnym tle byly "sylwestrowe wybuchy"? Nic bardziej mylnego!!! Program happy99.exe jest koniem trojanskim, powstal w 1999 roku. Dobrze, ze jest dosc prosty do usuniecia, wiec nie bedziesz miec z tym problemow. Z programami antywirusowymi mozesz dac sobie spokoj, wiekszosc go nie widzi. Czytaj dalej...

CHARAKTER
Miesza glownie w poczcie, nie kradnie hasel. Uruchamia sie tylko na windows'ach NT i 95/98 reszta systemow jest bezpieczna, wlacznie z windowsem 3.X. Ciekawostka jest to, ze rozsyla sie sam do wybranych osob, z ktorymi prowadzisz korespondecje! Mozesz go nieswiadomie wyslac pod adres listy dyskusyjnej i wtedy otrzymaja go setki (tysiace) osob - moga miec do Ciebie pretensje. A wiec jak najszybciej usun tego wirusa ze swego komputera. Czytaj dalej...

LECZENIE
Przejdz do trybu MS_DOS
"Start - Zamknij system - Uruchom komputer w trybie MS-DOS" W trybie DOS'a nalezy wykonac nastepujace operacje:
cd %windir%\system

del ska.exe
del ska.dll
copy wsock32.ska wsock32.dll
del wsock32.ska
Po wejsciu do windowsa naciskamy "Start - Uruchom" wpisujemy "regedit".

Uruchomi sie edytor rejestrow, wchodzimy dalej "
[HKEY LOCAL MACHINE / Software / Microsoft / Windows / CurrentVersion]
Sprawdzamy teraz dokladnie klucze zaczynajace sie od "Run", w ktoryms z nich powinien znajdowac sie wpis "ska.exe" (z prawej strony), oczywiscie usuwamy go.
Mozemy jeszcze sprawdzic czy nie siedzi gdzies indziej w rejestrze za pomoca polecenia "Find/Znajdz" z menu "Edit/Edycja".

Istnieje mozliwosc, ze trojan zapisal sie nie jako ska.exe a jako happy. Nalezy za pomoca polecenia "Find/Znajdz" poszukac takze wpisu "happy". Oczywiscie, po znalezieniu, skasowac.

Ostatnia czynnosc to sprawdzenie i powiadomienie osob, ktore sam zainfekowales. Wiec tak w katalogu %windir%\system jest plik liste.ska, w nim znajdziesz liste osob ktorym wyslales feralnego emaila (plik otwiera sie pod dowolnym edytorem tekstu wiec z edycja nie bedzie problemu).

Powiadom ich o tym, najlepiej podaj adres tej instrukcji, to jest http://cis.art.pl/PODWORKO/WIRUS/

POWODZENIA !!!!!