fz-Home




Sicherheit im Web
Antivirus
sog. E-Mail-Viren (Hoaxes)


Software
Java / JS
Microsoft
Win 32
Win 3.1x
macOS
Unix
Amiga
OS/2, Atari, NeXT,...
   

© Frank Ziemann  –  Update: 02.09.2009


Extra-Blatt

I-Worm.PrettyPark (W32/Pretty, Trojan.PSW.CHV, SouthPark Trojan)

E-Mail-Wurm, Trojanisches Pferd und Backdoor in einem

PrettyPark wurde im Mai 1999 in Frankreich entdeckt und dann auch in anderen Teilen Europas und der Welt in größerem Maße gemeldet. Es ist ein E-Mail Wurm, der auch Passwörter ausspioniert und per IRC (Chat) an seinen 'Meister' meldet. Dazu kommen Funktionen, die einen Zugriff auf den Hostrechner über das Internet ermöglichen.

Betroffene Systeme:
Windows 95/98/NT/2000(?)

PrettyPark Icon Die Verbreitung von PrettyPark erfolgt durch E-Mails mit dem Betreff (Subject, Titel) 'C:\CoolProgs\Pretty Park.exe', die die Datei 'Pretty Park.Exe' als Attachment (Dateianhang) enthalten (ca. 37 kB). Das Programm-Icon sieht wie folgt aus:

Wird dieses Programm ausgeführt, kontrolliert es zunächst, ob sich bereits eine Instanz des Programms im Speicher befindet. Dazu sucht es nach einer Anwendung, deren Fenstertitel '#32770' lautet. Findet es diese nicht, registriert sich PrettyPark als versteckter Prozess (nicht im Taskmanager sichtbar) und installiert sich. Dabei kopiert es eine Datei 'FILES32.VxD' im Verzeichnis \Windows\System und manipuliert einen Registry-Schlüssel, der es beim jedem Windows-Start in den Speicher lädt:

HKEY_LOCAL_MACHINE\Software\Classes\exefile\shell\open\command
Wert vorher: "%1" %* nachher: FILES32.VXD "%1" %*

Wird die Datei 'FILES32.VxD' gelöscht, ohne den Registry-Eintrag wieder zurückzusetzen, kann keinerlei Programm mehr geladen werden, auch nach Neustart nicht -- dieser würde dann wohl scheitern. Daher muss als erstes der o.g. Registry-Eintrag wieder auf ' "%1" %* ' geändert werden. Erst dann darf man die Datei löschen und den Rechner neu starten. Sie können die Datei 'pretty.reg' (geZIPped) herunterladen und zum Ändern des Registry-Eintrags benutzen, wenn Ihr Rechner infiziert ist. Speichern Sie sie in einem temporären Verzeichnis (z.B. C:\TEMP), packen Sie sie aus (z.B. mit PKUNZIP oder WinZip) und installieren Sie sie durch Doppelklick auf 'pretty.reg' im Windows-Explorer. Sie können eine solche Datei auch selbst erstellen, in dem Sie auf einem nicht infizierten (!) Rechner den o.g. Schlüssel mit RegEdit exportieren.

Wenn bei der Installation von PrettyPark ein Fehler auftritt, versucht es, den Bildschirmschoner 'SSPIPES.SCR' zu laden, wird dieser nicht gefunden, versucht es PrettyPark mit 'Canalisation3D.SCR'. Nun werden zwei Internet-Routinen aktiv: Die erste (alle 30 s) versucht eine Verbindung mit einem der nachfolgend genannten IRC-Server herzustellen, um seinem 'Herrn und Meister' eine Nachricht zu senden, wenn dieser in irgendeinem Channel auf einem dieser Server ist.

IRC-Server:
irc.twiny.net
irc.stealth.net
irc.grolier.net
irc.club-internet.fr
ircnet.irc.aol.com
irc.emn.fr
irc.anet.com
irc.insat.com
irc.ncal.verio.net
irc.cifnet.com
irc.skybel.net
irc.eurecom.fr
irc.easynet.co.uk

PrettyPark ermittelt und sendet Passwörter, Konfigurationsdaten, ICQ-Nummern usw. Es kann Verzeichnisse erzeugen und löschen, Dateien senden und empfangen und Programme ausführen (via IRC).

Die zweite Routine, die alle 30 min. aktiv wird, durchsucht das Adressbuch und versendet die o.g. Mails an alle gefundenen Adressen, um sich weiter zu verbreiten.

Es gibt inzwischen mindestens eine neue Variante, die sich jedoch nur dadurch unterscheidet, dass die EXE-Datei nicht komprimiert ist. Sie ist also etwas größer (ca 60 kB). Sie wird als 'I-Worm.PrettyPark.wwpack' oder auch 'W32/Pretty.worm.unp' bezeichnet. Außerdem existiert noch eine weitere Variante, die nur 17 kB groß ist. Beide Varianten wurden im Februar 2000 entdeckt und sind aktuell (März 2000) im Umlauf.

Updates für Ihre Antivirus-Software dürften inzwischen verfügbar sein.

Original-Info:

zurück zur Hoax-Seite | Antivirus-Seite | zurück zur Übersicht Würmer/Trojaner