PRETTY PARK : le fils de MELISSA &
PAPA ??? …
PRETTY PARK est un virus-ver de fichier EXE qui se propage par Email
à tous les membres de la mailbox, mais il informe également via IRC des
mots de passe, de l'environnement système . Il peut aussi être utilisé
comme BackDoor.
Ce virus s'auto-propage attaché à un Email. Il affecte uniquement
les stations WINDOWS 95 et 98. Il ne fonctionne pas sous WINDOWS NT, qui
n'utilise pas les fichiers VXD.
Techniquement, il fait appel à la librairie WINSOCK.DLL
[Communications IP : recvfrom et sendto] et à la librairie ADVAPI32.DLL
[Gestion de la Base de Registre]. Il appelle également la fonction
OpenGl pour déclencher l'économiseur d'écran "PIPE3D.SCR". Ce virus peut
être dangereux car il peut fusionner avec le driver principal de WINDOWS
: VMM32.VXD.
Sa description est la suivante :
- Expéditeur : mailbox@xxx ou xxx est un provider Internet
- Objet : C:\CoolProgs\Pretty Park.exe
- Dans le corp du texte, figure Test : Pretty Park.exe suivi du
Prénom et du Nom de l'expéditeur involontaire.
Si on clique sur le fichier EXE, une animation "PIPE MANIA"
apparaît.
Ce virus a été écrit en langage DELPHI compilé avec WWPACK32. Lors
de sa première éxécution, le virus teste sa présence en mémoire avant de
s'installer.
Le virus crée un fichier C:\WINDOWS\SYSTEM\FILES32.VXD. Il ne
s'agit pas d'un driver VXD mais d'un fichier éxécutable avec cette
extention. Le virus utilise l'économiseur d'écran pour cacher les
éventuelles erreurs et/ou son activité lors de son éxécution.
La Base de Registre est modifiée pour que tous les fichiers EXE
utilisent ce fichier lors de leur lancement.
HKEY_CLASSES_ROOT\exefile\shell\open\command\""%1"
%*"
est modifiée
en
HKEY_CLASSES_ROOT\exefile\shell\open\command\files32.vxd
""%1" %*"
Les raccourcis sont également modifiés de façon à faire appel au
fichier.
Ce virus s'active au bout de 30 secondes, puis toutes les 30
minutes. A chaque activation, il envoie un message à un utilisateur IRC
figurant dans la liste ci-dessous :
- irc.twiny.net
- irc.stealth.net
- irc.grolier.net
- irc.club-internet.fr
- ircnet.irc.aol.com
- irc.emn.fr
- irc.anet.com
- irc.insat.com
- irc.ncal.verio.net
- irc.cifnet.com
- irc.skybel.net
- irc.eurecom.fr
- irc.easynet.co.uk
L'auteur du virus peut alors utiliser les informations ainsi
obtenues. Le virus dispose d'un ensemble de commandes qu'il envoie à
l'auteur : Informations système mais aussi accès internet, login, mots
de passe, ICQ ...
Le virus est aussi capable de créer ou supprime des répertoires et
des fichiers mais aussi de les éxécuter.
Eradication
:
Effectuez les opérations suivantes dans
l'ordre, si vous supprimez le fichier avant de modifier la base de
registre, vous renconterez des problèmes pour effectuer l'éradication du
virus.
Ouvrir la base de registre avec régédit et modifier la clé
HKEY_CLASSES_ROOT\exefile\shell\open\command\files32.vxd "%1" %* en
supprimant FILES32.VXD. Relancer l'ordinateur.
Ouvrez le gestionnaire de tâches avec [Ctrl+Alt+Suppr] et détruiser
le process FILES32.VXD.
Supprimer le fichier C:\WINDOWS\SYSTEM\FILES32.VXD
Vérifier vos raccourcis et vos adresses IP qui risquent d'avoir été
modifiés.
Si vous avez effacé le fichier FILES32.VXD avant de modifier la Base
de Registre. Cliquez sur "Poste de Travail", Disque "C", Windows.
Rechercher le fichier "REGEDIT.EXE" et renommer le [F2] en
"REGEDIT.COM". Vous pouvez de nouveau exécuter
REGEDIT.
|