PrettyPark

CRM
 Oracle CRM
Ochrona
 Usuń wirusy
 Programy
 Trend Micro
 Uaktualnienia
 Sklep
                 

TROJ_PRETTY_PARK

Troj_Pretty_Park jest trojanem rozprzestrzeniającym się poprzez Internet. Po raz pierwszy pojawił się przed 9 miesiącami, lecz ostatnio zanotowano znaczny wzrost jego aktywności. Program przychodzi w postaci pliku prettyorg.exe i rezyduje w pamięci systemów z Windows 95/98/NT.

Po uruchomieniu instaluje się w FILES32.VXD w katalogu systemowym np. C:\Windows\System, a następnie dokonuje modyfikacji: exefile\shell\open\command w HKEY_CLASSES_ROOT
FILES32.VXD nie jest sterownikiem VxD Win95/98, lecz programem wykonywalnym. VXD wykorzystywany jest w celu uruchomienia innych modułów programu. Uruchomienie programu wirusa odbywa się zawyczaj bezobjawowo. Jednak w przypadku Windows NT zmienia się nazwa wygaszacza ekranu 3D Pipes na SSPIPES.SCR, a to w celu ukrycia ewentualnych komunikatów związanych z zabezpieczeniem dostępu. Następnie uruchamiany jest program CANALISATION.EXE, a po zainstalowaniu w pamięci wykorzystywane funkcje WSOCK32.DLL (gethostbyname, socket, sendto, send, recvfrom, recv, inet_ntoa, inet_addr, htons, connect, closesocket, bind).
Program próbuje wysłać pocztę email do wszystkich znajdujących się w książce adresowej zaatakowanego użytkownika. Ponadto dane dotyczące ustawień systemowych oraz haseł udostępniane są użytkownikom następujących kanałów IRC:

irc.twiny.net
irc.stealth.net
irc.grolier.net
irc.club-internet.fr
ircnet.irc.aol.com
irc.emn.fr
irc.anet.com
irc.insat.com
irc.ncal.verio.net
irc.cifnet.com
irc.skybel.net
irc.eurecom.fr
irc.easynet.co.uk

Przekazywane dane obejmują: hasła dostępu do internetu, znalezione w systemie numery telefoniczne, numery ICQ, dane konfiguracyjne dotyczące komputera, nazwy użytkowników i hasła zdalnych sesji (RAS).

Jak usunąć:

Ważne: Nie należy kasować pliku FILES32.VXD przed modyfikacją rejestru, bowiem system Windows może po prostu nie uruchomić żadnej aplikacji !

W celu usunięcia wirusa należy:

1) Uruchomić plik CleanPPark.reg (umieszczony na naszym serwerze), który poprawi zmiany w rejestrze dokonane przez TROJ_PRETTY_PARK
2) Uruchomić system w trybie MS-DOS (Start | Shut Down | Restart w MS-DOS).
3) Przejść do katalogu C:\windows>. Wpisać “cd system” i wcisnąć ENTER. Skasować plik poleceniem: "del files32.vxd", wcisnąć ENTER.
4) Zrestartować system, następnie przeskanować, aby upewnić się, że wirus został usunięty.

Jeśli plik FILES32.VXD zostanie usunięty przed modyfikacją rejestru, należy:
1. Zapisac CleanPPark.REG na dyskiekę.
2. Wskazać Start--> Run -->Browse-->A: odszukac i uruchomic CleanPPark.REG.

Zalecamy korzystanie z oprogramowania Trend Micro z najnowszymi wzorcami wirusów. 

Zachęcamy do odwiedzenia naszego SKLEPU , zapoznania się z założeniami PROFILAKTYKI ANTYWIRUSOWEJ

Opracowano na podstawie materiałów Trend Micro
© 1999 Trend Micro Incorporated. All Rights Reserved

 

 

               

Copyright  Air Trend 1999-2004