PrettyPark se vrací

Přestože počítačový virus PrettyPark byl zaregistrován poprvé loni v květnu, není neaktuální ani nyní s více ne


Přestože počítačový virus PrettyPark byl zaregistrován poprvé loni v květnu,
není neaktuální ani nyní s více než osmiměsíčním odstupem. I v lednu 2000 totiž
patřil k nejrozšířenějším virům na světě.
PrettyPark.exe v počtu více než hojném zavítal i do českých luhů a hájů (či
spíše sítí a počítačů). Krátce sice páchal škody v počítačích, ale záhy byl
velkou ofenzivou antivirových programů zatlačen do ústraní. Už už se zdálo, že
skončil v propadlišti dějin, když se na počátku loňského října opět vrátil.
Je to jev v oblasti počítačových virů nevídaný a poměrně řídký. A protože nikdo
nemůže vyloučit další "comeback" tohoto i v současnosti poměrně rozšířeného
viru, přinášíme o něm podrobnější informace. S nepřítelem, kterého známe, se
totiž bojuje o poznání jednodušeji.
Poprvé byl PrettyPark.exe zaregistrován 28. května ve spamu pocházejícím z
Francie, kde byl přiložen k e-mailovým dopisům jako příloha. Virus byl stvořený
v Delphi, zkomprimovaný je programem WWPack32 (velikost 37 kilobajtů, po
rozbalení pak 58 kilobajtů). Přestože je PrettyPark na aplikaci napsanou v
Delphi poměrně krátký, obsahuje množství nebezpečných rutin. Ty mu umožňují
rychle se šířit a zasazovat svým "obětem" tvrdé rány.
PrettyPark.exe je souborem typu PE (Portable Executable). Jakmile je po
příchodu do systému (a je jedno, zdali prostřednictvím přílohy u e-mailové
zprávy či v jakékoliv jiné podobě) poprvé spuštěn, nejprve se přesvědčuje,
zdali zde již "nehnízdí". Dělá to tak, že hledá aplikaci, která ve svém titulu
nese znaky "#32770". Pokud nemá úspěch a hledaný soubor nenalezne, zaregistruje
se do systému coby skrytá aplikace (není viditelná v "Task listu" např. po
stisku Ctrl Alt Del) a provede svou instalační rutinu.
Instalace viru
Instalace PrettyParku do napadaného počítače probíhá tak, že do systémového
adresáře je nakopírován soubor Files32.vxd. Ten se zapisuje do systémového
registru, aby si zajistil své zavedení, kdykoliv je systém spuštěn. Přitom
soubor Files32.vxd není (jak by se podle koncovky dalo očekávat) VxD Windows
95/98 driver, ale běžný spustitelný soubor pouze s jinou koncovkou než "exe". V
případě, že z jakéhokoliv důvodu dojde při "instalaci" viru PrettyPark do
systému k chybě, aktivuje soubor sspipes.scr tedy spořič obrazovky.
Poté, co dokončí napadení systému, se virus ještě pojistí proti tomu, aby
nevymřel rozešle infikované e-maily (s připojeným souborem PrettyPark.exe) na
všechny kontakty umístěné v e-mailovém adresáři.
V případě, že je PrettyPark v počítači aktivní, pokouší se každých 30 sekund
navázat spojení prostřednictvím IRC na následujících adresách:
irc.twiny.net
irc.stealth.net
irc.grolier.net
irc.club-internet.fr
ircnet.irc.aol.com
irc.emn.fr
irc.anet.com
irc.insat.com
irc.ncal.verio.net
irc.cifnet.com
irc.skybel.net
irc.eurecom.fr
irc.easynet.co.uk Pročpak to PrettyPark dělá? Inu, jeho autor pravděpodobně
výše uvedené zdroje monitoruje a na volání "svého" viru může patřičně reagovat.
PrettyPark totiž může sloužit jako "zadní dvířka" do počítače k ovládání
některých funkcí. Nejen, že předá informace o heslech či nastavení systému, ale
navíc umožňuje na dálku konfigurovat disk a vytvářet či přesouvat adresáře,
posílat/přijímat soubory a mazat i vykonávat je. Po infiltrování se PrettyPark
bude každých 30 minut pokoušet rozeslat své kopie e-mailem na adresy z vašeho
adresáře. Samotný vzkaz neobsahuje nic, pouze kopii PrettyParku.
0 0538 / pen









Komentáře
K tomuto článku není připojena žádná diskuze, nebo byla zakázána.