Nuevo Pretty Park: El mismo daño

Nuestro laboratorio ha recibido múltiples reportes de una versión modificada del gusano Pretty Park. Para poder detectar esta versión modificada es necesario actualizar su antivirus. El virus utiliza para distribuirse la libreta de direcciones de Windows, con esta estrategia ha logrado una difusión masiva.

Alerta: Naranja. Múltiples infecciones detectadas en Argentina, Uruguay y Chile.

 

¿  Qué características tiene esta nueva variante?

 El virus es recibido en un mensaje con el siguiente cuerpo:

    “Test: Pretty Park.exe:)”

El archivo adjunto se llama Pretty Park.exe, en algunos casos Pretty~1.exe”, que tiene asociado como icono una caricatura de la serie “South Park”.

El mensaje proviene de alguna persona conocida, (por el hecho de que su dirección se encuentra en la libreta de direcciones de quien ya se encuentra infectado) lo que facilita el contagio, ya que los usuarios que reciben mensajes de conocidos toman menos precauciones que las habituales.

 Una vez que se ejecuta el programa adjunto se copia el virus con el nombre FILES32.VXD en el directorio C:\WINDOWS\SYSTEM.

 El virus modifica el System Registry modificando la clave

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

 Esta clave contiene inicialmente el contenido:

“%1” %*

 y el virus lo reemplaza por

FILES32.VXD “%1” %*

 

¿ Cómo identificar el virus?

Las versiones actuales de los mejores antivirus detectan el virus.  Si usted no sabe si su antivirus detecta el virus, puede chequearlo manualmente buscando el archivo FILES32.VXD en el directorio Windows/System. Si el archivo existe, su equipo se encuentra infectado. En caso contrario, su equipo está sano.

 

¿ Qué hacer si su equipo está infectado?

Se deben realizar dos pasos:

1.      Eliminar el virus

2.      Enviar un mensaje a todas las direcciones de la libreta de direcciones de Windows, avisando que enviaron accidentalmente el virus Pretty Park, que eliminen inmediatamente el archivo, si aún no lo ejecutaron, o que eliminen el virus, siguiendo las instrucciones aquí descriptas.

 

¿ Cómo eliminar el virus?

La eliminación del virus es muy delicada. Se deben seguir los pasos aquí descriptos en el mismo orden en el cual se explica. Para eliminar el virus se usará el programa Regedit. Un mal uso de este programa puede causar problemas de funcionamiento en su equipo. Use este programa únicamente para realizar la tarea aquí descripta. Ante cualquier duda realice su consulta a: soporte@ran-net.com

1.      Eliminar la invocación del virus en el System Registry:

1.1.  Cargar el programa RegEdit:

Inicio à Programas à RegEdit

1.2.  Buscar la clave:

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command

1.3.  Dar doble click en predeterminado y donde dice:

FILES32.VXD “%1” %*

Eliminar FILES32.VXD para que quede:

“%1” %*

2.      Eliminar el archivo FILES32.VXD que se encuentra en el directorio Windows\System

3.       Eliminar el archivo del virus que se recibió adjunto a un mensaje: Pretty Park.exe o Pretty~1.exe.

 

Información descriptiva del virus

Información sobre el virus W32-Pretty Park

Fecha de Descubrimiento

Junio de 1999.

Se detectó una versión modificada detectadas en Octubre de 1999.

La nueva versión modificada fue reportada en Estados Unidos en marzo de 2000.

 

Origen

Esta versión modificada fue identificada en varios servidores IRC de Estados Unidos.

Tipo de Virus

Virus Gusano de Windows-95/98 y de Windows-NT.

Otros nombres

No tiene.

Grado de Riesgo de virus

Alto. Múltiples reportes en Argentina, Uruguay y Chile.

 

Agradecimientos

Queremos agradecer los reportes de virus recibido de Jorge Varlotta, de Montevideo, Jorge Glezer, Roberto Sargenti y Gustavo Sanjurjo, de Buenos Aires.

Propiedad Intelectual

La información precedente es propiedad intelectual de RAN Ingeniería de Sistemas S.R.L. Informamos a aquellos que quieran reproducir nuestros Alertas de Seguridad que pueden hacerlo UNICAMENTE mencionando la fuente.

 

Ultimos Virus Alerts

Si Ud. desea acceder a los Security  Alerts anteriores acceda a nuestra página de Internet http://www.ran-net.com

 

Suscripción

Si Ud. no recibe nuestros Alertas en forma directa, puede suscribirse sin cargo en forma directa enviando un email a alert@ran-net.com con “Suscripción” como subject.