W32/Pretty.Park

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

W32/Pretty.Park: Gusano con atributos de troyano

Viernes 4 de junio de 1999.

Nombre: W32/Pretty.Park
Alias: Pretty.Worm, PSW.CHV

En estos días, se ha detectado en Internet, un nuevo "gusano" (un virus tipo "Happy99"). Un gusano es un programa que se propaga a si mismo a otras computadoras, en este caso a través del correo electrónico. Sin embargo, el W32/Pretty.Park (tal su nombre), contiene características que le permite también actuar como un troyano (caballo de Troya), con características de "Backdoor", o sea que además puede sacar información de la computadora infectada, en forma remota, y claro está, sin consentimiento de su dueño.

El W32/Pretty.Park es conocido también como "Pretty Worm" (algo así como "Gusano bonito"), y como "PSW.CHV" (AVP) e infecta archivos de Windows 95, 98 y NT.

Puede llegar a su buzón electrónico, en un mensaje con un archivo adjunto que simula ser una utilidad (PrettyPark). Demás está decir aquí nuestra recomendación de siempre: si usted no solicitó un archivo adjunto, no lo abra jamás, simplemente bórrelo. Tenga en cuenta otro "pequeño" detalle. Quien se lo envía casi con seguridad es un conocido. No lo culpe, como en el caso del "Happy99", esa persona puede no saber que está infectada. Si a pesar de ello, usted lo ejecuta, el gusano se instalará en su sistema, y es entonces cuando enviará a su vez mensajes con el propio virus incluido en ellos, a las direcciones existentes en su "Libreta de Direcciones".

El propio gusano es un archivo ejecutable (formato PE de Windows) que posee un tamaño de 37Kb, y que está comprimido con la utilidad "WWPack32". Al descomprimirlo, su tamaño es de unos 58Kb. Ha sido escrito en lenguaje "Delphi". El código "puro" ocupa en realidad unos 45Kb. Pero a pesar de ese tamaño, el gusano tiene muchos rasgos que lo hacen muy peligroso.

Cuando se ejecuta por primera vez, "W32/Pretty.Park" busca una posible copia de si mismo en la memoria. Hace esto examinando si alguna de las aplicaciones activas contiene como subtítulo en su ventana lo siguiente: "#32770". Si no encuentra nada, el virus se registra a si mismo como una aplicación oculta, o sea que no será visible en la lista de tareas (no se verá al pulsar CTRL+ALT+SUP) y ejecuta entonces su rutina de instalación.

Primero, se copia a si mismo con el nombre "FILES32.VXD" en la carpeta WINDOWS\SYSTEM. Luego modifica el registro de modo que sea llamado cada vez que se abre otra aplicación. El virus hace eso creando una nueva llave en la rama HKEY_CLASSES_ROOT, en "exefile\shell\open\command" y allí asocia la copia del gusano creada en la carpeta System de Windows (FILES32.VXD).

A pesar de su extensión .VxD, no se trata de un verdadero driver, sino de un ejecutable de Win95/98.

Estos cambios en el registro, pueden también figurar en:
HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command

Como curiosidad, en caso de ocurrir algún error mientras se instala, el gusano intenta activar el protector de pantalla "SSPIPES.SCR", una "curiosa" forma de esconderse. Si no encontrara a este protector, intentará activar otro llamado "Canalisation3D.SCR". Estos protectores suelen estar instalados, salvo que se haya hecho una instalación personalizada de Windows, sin protectores de pantalla.

W32/Pretty.Park inicializa luego alguna conexión a Internet para ejecutar sus rutinas.

Una de ellas, al activarse, intentará conectarse con algún chat de IRC para enviar un mensaje a un determinado usuario de esos canales. De esta manera el presunto autor del gusano intentará obtener el control de las computadoras infectadas. Esta es la lista de servidores de IRC conque el gusano intenta conectarse:

irc.twiny.net
irc.stealth.net
irc.grolier.net
irc.club-internet.fr
ircnet.irc.aol.com
irc.emn.fr
irc.anet.com
irc.insat.com
irc.ncal.verio.net
irc.cifnet.com
irc.skybel.net
irc.eurecom.fr
irc.easynet.co.uk

Una vez que sea reconocido por el autor del virus, el gusano puede manipularse para funcionar como un caballo de Troya tipo "Backdoor" (Back Orifice, NetBus, etc.). Con una serie de comandos predefinidos, se envía la configuración del sistema infectado, la lista de los discos, la información y contenido de todas las carpetas, así como login y password de los accesos a Internet, números de teléfono, datos del ICQ, etc. Pero además, este backdoor es capaz de crear y borrar directorios, enviar, recibir, borrar y ejecutar archivos, etc.

La segunda rutina que se activa, abre la libreta de direcciones de Windows, lee las direcciones allí existentes, y envía un mensaje a cada una de ellas, con el siguiente texto en el campo "Subject" (Asunto): C:\CoolProgs\Pretty Park.exe

Y por supuesto, el mensaje contiene además una copia (como file-attach) del propio gusano.

Para quitar este gusano de su registro, puede bajar este archivo:
http://www.avertlabs.com/public/datafiles/extra/pretty4r.zip o de nuestra página: Otro software (Antivirus Específicos)

Para usarlo, una vez descomprimido, pinche sobre el botón (icono) y responda que si cuando se le pida alterar el registro. Esto corregirá los cambios hechos por el virus en el registro. Una vez terminado, puede borrar el archivo WINDOWS\SYSTEM\FILES32.VXD y cualquier otro identificado como W32.Pretty.worm de su sistema.

Para detectarlo, puede bajar el archivo DAT-4029 (o posterior) para VirusScan 4.x (Extra-Dat, solo cópielo en la carpeta de su VirusScan).

También el AVP con su actualización del 1/jun/99 (UP990601 o posterior) lo reconoce.