McAfee for Small Businesses

ウイルス情報 ウイルス名 W32/Pretty.Worm 危険度 低 対応定義ファイル 4029　（現在7083) 対応エンジン 4.0.25以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 I-Worm.PrettyPark, Pretty Worm, PrettyPark, W32/Pretty.gen@MM, W32/Pretty.worm.gen@MM, W32/Pretty.Park 発見日（米国日付） 99/05/29 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/21 RDN/Generic ... 05/21 RDN/Generic ... 05/21 RDN/Generic.... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7083  エンジン：5.4.00   ウイルス検索

パスワードやコンピュータ名などを盗もうとするウイルス、Pretty.Wormの日本での報告が増えています。ご注意いただけるようお願いいたします。（99/10/4）

予防方法

「便利なプログラムです。ぜひどうぞ」といった文面と共に実行ファイルがメール添付されてきた場合でも、そのファイルは実行しないでください。メールごと削除するのが理想的です。また身元不明のWeb/FTPサイトからプログラムをダウンロードすることも避けてください。

Pretty.wormはWindows 9x/NTにおいてメールを介して繁殖するウイルスです。このプログラムは実行時に、"3Dパイプ"スクリーンセーバを表示し、さらに自分自身をFILES32.VXDというファイル名でWINDOWS/SYSTEMフォルダにコピーします。
さらにHKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open のレジストリキー値"command"を"%1" %* から FILES32.VXD "%1" %* へと改変します。これにより任意のEXEファイルの実行中にFILES32.VSDが起動することになります。

このウイルスは30分毎に、インターネット・アドレス・ブックにリストされているすべてのアドレスに対し、自分自身を自動的にメール送付しようとします。またこのウイルスは、IRCサーバに接続して、特定のIRCチャンネルに参加しようとします。接続中は、IRCサーバに情報を送って、接続を継続させようとします。またIRCチャネルからの任意のコマンドをリトリーブします。確定IRCサーバにある期間中は、本ウイルスの作者は、そのコネクションを、遠隔アクセス・トロイの木馬として使用することができます。この操作により、コンピュータ名、登録ユーザー名、登録組織名、システム・ルート・パス、ダイアルアップ・ネットワーク・ユーザー名、パスワードなどを取得しようとします。

エンジン・バージョン4.0.35以上の場合（※）

最新のDATファイルを使えば検出が可能です。 DATファイルダウンロード

エンジン･バージョンの見分け方

ここをクリック

（※）エンジン・バージョン4.0.25をご使用の方へ

4.0.25エンジンとDAT4088以降を組み合わせて使用した場合、このウイルスを検出することはできません。DAT4088以降をお持ちの方は、エンジンを4.0.35以上にアップグレードすることを推奨致します。

削除方法

1. まず、レジストリを修復します。Pretty Repair.regをダウンロードして、ZIPファイルを解凍の上、Pretty Repair.regをダブルクリックしてください（レジストリ変更の権限についての確認メッセージボックスが表示された場合は「はい」を選択してください）。これでレジストリが修復されました。

   Pretty Repair.regのダウンロード

2. 次に、WINDOWS\SYSTEM\FILES32.VXDを削除してください（注：Pretty.wormは、FILES32.VXD以外のファイル名で送られてくることもありえます。その場合は、VirusScanがW32.Pretty.wormという名前で検出したファイルを削除してください）。