McAfee for Small Businesses

ウイルス情報 ウイルス名 W32/Pretty.worm.unp 種別 トロイの木馬 ファイルサイズ 低 最小定義ファイル (最初に検出を確認したバージョン) 4067 対応定義ファイル (現在必要とされるバージョン) 4067　（現在7080) 対応エンジン 4.0.25以降　(現在5.4.00)　 エンジンバージョンの見分け方 別名 I-Worm.Prettypark.unp, Pretty Park.exe, Southpark Trojan 情報掲載日 00/03/03 補足 サイズ：60,928バイト OutLook Expressユーザーは特に要注意 米英などで多くの報告あり 発見日（米国日付） 00/02/17 駆除補足 DAT4067 + 4.0.25エンジンで検出できます。 駆除は手動となります。原種Pretty.wormでの方法と同じです。 ここをクリックウイルス駆除のヒント 概要 ウイルスの特徴 感染症状 感染方法 駆除方法

セキュリティ情報 最新ウイルス一覧へ >> 最新ウイルス 05/19 RDN/Generic ... 05/19 Generic Down... 05/19 RDN/Download... 定義ファイル・エンジンの ダウンロード!    定義ファイル：7080  エンジン：5.4.00   ウイルス検索

注：メール配信を行うのはOutlookExpressのみとなり、OutlookやExchangeでは機能しません

これはインターネット ウイルス"W32/Pretty.worm"の亜種です。原種は圧縮されていましたが、今回の亜種は圧縮されていません。

これはWindows 9x/NT上にインストールされるInternetウイルスです。このウイルスに感染したユーザから、電子メールの添付ファイルとして送付されます。電子メールには、"Southpark"というアニメのキャラクターのアイコンで表示されます。

送付されてくる電子メールの内容は以下のとおりです。

------------------
件名：C:\CoolProgs\Pretty Park.exe

Test: Pretty Park.exe :)

-------------

添付ファイル名は、Pretty park.exeです。Pretty~1.exeで届くこともあります。

このウイルスは、Outlook Expressに関連付けられたWindowsアドレスブックの中のすべてのEメールアドレスに自分自身を自動的にメール送付します。送付は30分ごとに発生します。

また、このウイルスはIRCサーバに接続して、特定のIRCチャネルに参加しようとします。さらに接続が途絶えることのないよう、IRCサーバに情報を送付します。決定されたIRCサーバにいる間、このウイルスの作者は、その接続を遠隔アクセス・トロイの木馬として悪用できることになります。これにより、コンピュータ名、登録ユーザー名、登録組織名、システム・ルート・パス、ダイアルアップ・ネットワークのユーザー名とパスワードなどを詐取することができます。

また、このプログラムは、起動時に、WINDOWS\SYSTEMフォルダのFILES32.VXDに自らをコピーします。その後、

HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open

のレジストリにある"command"の値を"%1" %*からFILES32.VXD "%1" %*に改変します。これにより、どのexeファイルを実行した場合でも、それと同時にFILES32.VXDが起動されることになります。

本トロイの木馬の削除手順は、以下のとおりです。

1. このファイルの中のPrettyRepar.regファイルを実行してください。レジストリが修復されます。
2. PCを再起動します。
3. ウイルススキャンによってPretty.parkに感染していると特定されたファイル（FILES32.VXD）を削除します。以上で駆除は完了です。