Name
des Virus |
W32/Pretty.worm.unp |
Typ |
Trojaner |
befallene Betriebssysteme |
Windows 9x/NT |
Alias |
I-Worm.Prettypark.unp, Pretty Park.exe, Southpark |
Infizierung:
Der Virus wird per Email auf Ihr System übertragen. Sobald man den Anhang
aktiviert, wird die Schadensroutine gestartet. Der Anhang besteht aus einer .EXE-Datei,
die durch Kyle aus der Fernsehserie SouthPark dargestellt wird.
Die Email hat folgendes Aussehen:
|
Betreff: |
C:\CoolProgs\Pretty Park.exe |
| Text: |
Test Pretty Park.exe :) |
| Anhang: |
 (in
einigen Fällen auch "Pretty~1.exe") |
Schadensroutine:
Der Virus versucht alle 30 Minuten Emails an alle Adressen im Outlook Adressbuch zu schicken.
Eine zweite Routine versucht sich mit dem IRC-Server in Verbindung zu setzen. Wird er mit diesem verbunden, so versucht er die Verbindung durch Senden von Daten zu halten, um alle Befehle vom IRC-Kanal zu erhalten. Solange dies der Fall ist, kann der Autor des Viruses ihn als trojanisches Pferd nutzen und Informationen wie Computername, registrierte Benutzer, Passworter etc. abfragen.
Schutz & Entfernung:
- Lassen Sie einen Virenscanner laufen und notieren Sie sich die
gefundenen infizierten Virusdateien. Entfernen Sie den Virus noch
nicht! Falls Sie dies trotzdem schon gemacht haben, führen Sie die
Schritte 10-12 aus.
- Starten Sie Regedit (Start => Ausführen => "Regedit" oder
"Regedt32" unter NT)
- Entfernen Sie die Referenzen des Viruses von folgenden
Registrierungsschlüsseln:
HKEY_CLASSES_ROOT\exefile\shell\open\command\
HKEY_LOCAL_MACHINE\exefile\CLASSES\exefile\shell\open\command\
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command (Falls er
existiert)
Alle sollten nur den Wert "%1%*" enthalten.
- Falls möglich, entfernen Sie alle Schlüssel, die den Virus starten
unter:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunServices\
und
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\
- Entfernen Sie den Registrierungsschlüssel (falls existent)
HKEY_CLASSES_ROOT\.dl
und schließen Sie den Registrierungseditor.
- Editieren Sie die WIN.INI und entfernen Sie dort die Verweise auf den
Virus unter der run-Zeile in [windows].
- Editieren Sie die SYSTEM.INI und entfernen Sie den Virus aus der
shell-Zeile in [boot]. Diese sollte nur die Datei EXPLORER.EXE enthalten!
- Neustart ihres PCs
- Enfernen Sie alle Virusprogramme. Falls eine Entfernung nicht möglich
ist, wiederholen Sie die Schritte 1-8 und versuchen Sie es erneut.
- Sollte Sie den Virus entfernt haben, bevor Sie die Registrierung
geändert haben, so sollten Sie diese schnell reparieren.
Starten Sie den MS-DOS Modus. Dort legen Sie eine Datei UNDO.REG an und
editieren diese (mit "Edit" ). Tragen Sie folgende Befehle ein:
REGEDIT4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="\"%1\" %*"
[HKEY_LOCAL_MACHINE\exefile\CLASSES\exefile\shell\open\command]
@="\"%1\" %*"
- Speichern Sie die Datei ins Windows Verzeichnis (als UNDO.REG)
- Starten Sie Windows und geben Sie unter "Start =>
Ausführen" "UNDO.REG" ein. Die Registrierungsdatei sollte nun
importiert werden.
Bemerkungen:
Der Virus ist die nicht komprimierte Version des Virus W32/PrettyPark.worm.
Copyright liegt bei All-About-PC. Alle Rechte vorbehalten.
Alle Information auf dieser Website durch All-About-PC urheberrechtlich geschützt.
Reproduktion und Vertrieb in jeglicher Form ohne Zustimmung der Redaktion sind
verboten.
Wiewohl alle Informationen auf dieser Website streng recherchiert und weitestgehend durch
Sekundärquellen gegengeprüft und bestätigt werden, kann für den Inhalt und daraus
etwaig entstehenden Schaden keine Verantwortung übernommen werden. |
|
