ウイルス情報

ウイルス名

W32/Pretty.Worm

危険度
対応定義ファイル 4029 (現在7656)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.PrettyPark, Pretty Worm, PrettyPark, W32/Pretty.gen@MM, W32/Pretty.worm.gen@MM, W32/Pretty.Park
発見日(米国日付) 99/05/29


 

新種トロイの木馬W32/Pretty Worm への
対応のお知らせ(99/10/4更新)
[初出99/06/09]

出所不明のプログラムは絶対に実行しないでください。


パスワードやコンピュータ名などを盗もうとするウイルス、Pretty.Wormの日本での報告が増えています。ご注意いただけるようお願いいたします。(99/10/4)

予防方法

    「便利なプログラムです。ぜひどうぞ」といった文面と共に実行ファイルがメール添付されてきた場合でも、そのファイルは実行しないでください。メールごと削除するのが理想的です。また身元不明のWeb/FTPサイトからプログラムをダウンロードすることも避けてください。
ウイルス情報

    Pretty.wormはWindows 9x/NTにおいてメールを介して繁殖するウイルスです。このプログラムは実行時に、"3Dパイプ"スクリーンセーバを表示し、さらに自分自身をFILES32.VXDというファイル名でWINDOWS/SYSTEMフォルダにコピーします。
    さらにHKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open のレジストリキー値"command"を"%1" %* から FILES32.VXD "%1" %* へと改変します。これにより任意のEXEファイルの実行中にFILES32.VSDが起動することになります。

    このウイルスは30分毎に、インターネット・アドレス・ブックにリストされているすべてのアドレスに対し、自分自身を自動的にメール送付しようとします。またこのウイルスは、IRCサーバに接続して、特定のIRCチャンネルに参加しようとします。接続中は、IRCサーバに情報を送って、接続を継続させようとします。またIRCチャネルからの任意のコマンドをリトリーブします。確定IRCサーバにある期間中は、本ウイルスの作者は、そのコネクションを、遠隔アクセス・トロイの木馬として使用することができます。この操作により、コンピュータ名、登録ユーザー名、登録組織名、システム・ルート・パス、ダイアルアップ・ネットワーク・ユーザー名、パスワードなどを取得しようとします。

対処方法

エンジン・バージョンの見分け方

(※)エンジン・バージョン4.0.25をご使用の方へ

    4.0.25エンジンとDAT4088以降を組み合わせて使用した場合、このウイルスを検出することはできません。DAT4088以降をお持ちの方は、エンジンを4.0.35以上にアップグレードすることを推奨致します。

削除方法

  1. まず、レジストリを修復します。Pretty Repair.regをダウンロードして、ZIPファイルを解凍の上、Pretty Repair.regをダブルクリックしてください(レジストリ変更の権限についての確認メッセージボックスが表示された場合は「はい」を選択してください)。これでレジストリが修復されました。

    Pretty Repair.regのダウンロード

  2. 次に、WINDOWS\SYSTEM\FILES32.VXDを削除してください(注:Pretty.wormは、FILES32.VXD以外のファイル名で送られてくることもありえます。その場合は、VirusScanがW32.Pretty.wormという名前で検出したファイルを削除してください)。