W32/PrettyParkに関する情報

平成11年10月8日
情報処理振興事業協会
セキュリティセンター(IPA/ISEC)


 自分自身をメールの添付ファイルで送るウイルスによる被害が急増していますので、注意して下さい。

(1)注意事項

・たとえ、友人、知人、同僚等からのメールであったとしても、PrettyPark.exeというファイルが添付されている場合は、実行することなく、速やかに削除して下さい。

・送ってきた相手が気づいていない場合があるので、ウイルス感染の可能性がある旨連絡して下さい。

(2)概要

W32/PrettyParkは、ワームの1種である。このウイルスは、通常、電子メールの添付ファイルとして拡がっていく。
PrettyPark.exeを実行すると、(Windowsが、c:\windowsにインストールされている場合)自分自身をWindows\systemディレクトリに、Files32.vxdというファイル名でコピーする。 そして、他のプログラムが実行されると、ウイルスも実行されるように、以下のレジストリの値を「""%1" %*"」から「"Files32.vxd"%1" %*"」に変更する。
 ・「HKEY_CLASSES_ROOT\exefile\shell\open\command」
 ・「HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command」

実行プログラム(拡張子がexe)が実行されると、Files32.vxdも実行され、ウイルスはメモリに常駐する。そして、マシンが インターネット接続されている場合は30秒毎に特定のIRC(*1)サーバーに接続し、パスワード、ID等の情報を送信する。 また、インストールされているメーラー(*2)によっては、30分毎にアドレス帳に登録してあるメールアドレスに、PrettyPark.exeというファイル名の自分自身を添付したメールを送信する。 メールのサブジェクトは、C\CoolProgs\Pretty Park.exeで、本文の内容、添付されたファイルのアイコンは下記のようになっている。
(*1 Internet Relay Chat)
(*2 現在確認がとれているのは、マイクロソフト社のOutlookとOutlookExpress)

prettypark.jpg (6278 バイト)

(3)感染確認方法

Windowsのsystemディレクトリに Files32.vxdが存在するかどうか確認する。 存在していれば、W32/PrettyParkに感染している。

(4)修復方法:

注)レジストリを修正する場合は、少しでも間違えると、コンピュータが正常に起動しなくなる場合もあるので注意すること。

・添付ファイルの、PrettyPark.exeを削除する。
・regeditを起動して、以下のレジストリの値が「"Files32.vxd"%1" %*"」に変更されていれば、「"%1" %*」に変更する。
 「HKEY_CLASSES_ROOT\exefile\shell\open\command」
 「HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open\command」
・Windowsを再起動して、\windows\systemディレクトリのFiles32.vxdを削除する。

注) 
他のウイルスに感染している可能性もあるので、修復後は必ず、最新のワクチンソフトで検査を行って、ウイルス感染が無くなったことを確認して下さい。


●下記サイトにも情報が掲載されているので、参照して下さい。


      ウイルス対策のトップページこちらをご覧ください。