GUSANO

WIN32/PRETTYPARK

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: Pretty Park, I-Worm.PrettyPark
Fecha de aparición: Junio 1999
Origen: Europa Central

También conocido como "Trojan.PSW.CHV", es al mismo tiempo un gusano de Internet, un troyano ladrón de passwords y un backdoor.

Se conocen varias variantes y todas tienen la misma funcionalidad, pero algunas están empaquetadas.

Se difunde a través de Internet adjuntándose a e-mails como el archivo "Pretty Park.Exe". El archivo incorpora un icono que representa un personaje de la serie de dibujos animados South Park.

Al ejecutarse se instala en el sistema y envía mensajes de correo a las direcciones incluidas en la agenda adjuntando una copia de sí mismo y también informa a alguien (probablemente al autor del gusano) a través de un servidor IRC específico de los parámetros y passwords del sistema infectado. También puede ser utilizado como backdoor (herramienta de acceso remoto).

Cuando el gusano es ejecutado en el sistema por primera vez, busca su copia todavía activa
en memoria. Hace esto al localizando aplicaciones con el título de ventana "#32770".
Si no existe tal ventana, el gusano se registra a sí mismo como una aplicación oculta (no visible en la lista de tareas) y ejecuta su rutina de instalación.

Mientras se instala en el sistema, el gusano se copia dentro del directorio \Windows\System como el archivo FILES32.VXD y modifica el Registro para que se ejecute cada vez que se inicie cualquier archivo EXE estando Windows activado. El gusano hace esto insertando una clave en HKEY_CLASSES_ROOT. El nombre de la clave es exefile\shell\open\command y está asociado con el archivo gusano (el archivo FILES32.VXD que fue creado en la carpeta de sistema de Windows). Si el archivo FILES32.VXD es borrado y no se corrige el registro, los archivos EXE no se podrán volver a arrancar.

En caso de error durante la instalación, el gusano activa el protector de pantalla SSPIPIES.SRC (tuberías 3D). Si no se encuentra este archivo, intentará activar el protector de pantalla "Canalisation3D.SRC".

Es entonces cuando el gusano establece conexiones a Internet y activa dos de sus rutinas. La primera una vez durante 30 segundos, la otra una vez durante 30 minutos.

La primera rutina intenta conectar a un servidor de chat IRC y envía mensajes a alguien si es que éste está presente en alguno de los canales de este servidor. Esto permite al autor del gusano monitorizar las máquinas infectadas.

La lista de servidores IRC a los que el gusano intenta conectar son:

irc.twiny.net
irc.stealth.net
irc.grolier.net
irc.club-internet.fr
ircnet.irc.aol.com
irc.emn.fr
irc.anet.com irc.insat.com
irc.ncal.verio.net
irc.cifnet.com
irc.skybel.net
irc.eurocom.fr
irc.easynet.co.uk 

El gusano también puede ser utilizado por su autor como backdoor (herramienta de acceso remoto). Es capaz de enviar detalles sobre la configuración del sistema, lista de unidades, información sobre directorios e información confidencial como passwords de acceso a Internet y números de teléfono, nombres de login de Servicios de Acceso Remoto y passwords, números ICQ, etc. El backdoor puede también crear/eliminar directorios, enviar/recibir archivos, así como borrarlos y ejecutarlos, etc.

La segunda rutina, abre el archivo de la agenda, toma de allí las direcciones de correo y envía mensajes a esas direcciones. La referencia del mensaje contiene el texto:
C:\CoolProgs\Pretty Park.exe

El mensaje lleva adjunta una copia del gusano en el archivo Pretty Park.EXE. Si alguien recibe este mensaje y ejecuta el archivo adjunto su sistema se infectará.

Variante W32/PRETTY.WORM.UNP
Se trata de una edición no empaquetada del virus "W32/Pretty.worm".

Es un virus de Internet que se instala a sí mismo en los sistemas Windows 9x/NT. Los usuarios se infectan al recibir un email infectado procedente de otro usuario a su vez infectado. Muestra un icono de un personaje de la serie animada "Southpark".

Método de infección

Cuando se ejecuta este virus, se copia a sí mismo en FILES32.VXD en WINDOWS\SYSTEM. A continuación, modifica el valor del registro siguiente:

KHEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open

Cambia el valor "%1" %* por FILES32.VXD "%1" %*. De este modo, el archivo FILES32.VXD se ejecutará cada vez que se ejecute cualquier archivo .exe.

El virus tratará de enviarse a sí mismo por correo electrónico cada 30 minutos a todas las direcciones de la agenda del programa de correo electrónico. 

Por otro lado, el virus tratará de entrar en un canal IRC específico. Mientras esté conectado, enviará información al servidor IRC y tratará de recuperar órdenes del canal IRC. Mientras, el autor de este virus conseguirá conectarse como un troyano de acceso remoto para obtener información sobre el PC: nombre del ordenador, propietario registrado, compañía registrada, información del sistema, ....


Copyright © VIRUSPROT.COM