ウイルス情報

ウイルス名

W32/Pretty.worm.unp

種別 トロイの木馬
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4067
対応定義ファイル
(現在必要とされるバージョン)
4067 (現在7634)
対応エンジン 4.0.25以降 (現在5600) 
エンジンバージョンの見分け方
別名 I-Worm.Prettypark.unp, Pretty Park.exe, Southpark Trojan
情報掲載日 00/03/03
補足 サイズ:60,928バイト
OutLook Expressユーザーは特に要注意
米英などで多くの報告あり
発見日(米国日付) 00/02/17
駆除補足 DAT4067 + 4.0.25エンジンで検出できます。
駆除は手動となります。原種Pretty.wormでの方法と同じです。
ここをクリックウイルス駆除のヒント
概要 ウイルスの特徴 感染症状 感染方法 駆除方法

注:メール配信を行うのはOutlookExpressのみとなり、OutlookやExchangeでは機能しません

これはインターネット ウイルス"W32/Pretty.worm"の亜種です。原種は圧縮されていましたが、今回の亜種は圧縮されていません。

これはWindows 9x/NT上にインストールされるInternetウイルスです。このウイルスに感染したユーザから、電子メールの添付ファイルとして送付されます。電子メールには、"Southpark"というアニメのキャラクターのアイコンで表示されます。

送付されてくる電子メールの内容は以下のとおりです。

------------------
件名:C:\CoolProgs\Pretty Park.exe

Test: Pretty Park.exe :)

-------------

添付ファイル名は、Pretty park.exeです。Pretty~1.exeで届くこともあります。

このウイルスは、Outlook Expressに関連付けられたWindowsアドレスブックの中のすべてのEメールアドレスに自分自身を自動的にメール送付します。送付は30分ごとに発生します。

また、このウイルスはIRCサーバに接続して、特定のIRCチャネルに参加しようとします。さらに接続が途絶えることのないよう、IRCサーバに情報を送付します。決定されたIRCサーバにいる間、このウイルスの作者は、その接続を遠隔アクセス・トロイの木馬として悪用できることになります。これにより、コンピュータ名、登録ユーザー名、登録組織名、システム・ルート・パス、ダイアルアップ・ネットワークのユーザー名とパスワードなどを詐取することができます。

また、このプログラムは、起動時に、WINDOWS\SYSTEMフォルダのFILES32.VXDに自らをコピーします。その後、

HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\shell\open

のレジストリにある"command"の値を"%1" %*からFILES32.VXD "%1" %*に改変します。これにより、どのexeファイルを実行した場合でも、それと同時にFILES32.VXDが起動されることになります。


手動駆除方法

本トロイの木馬の削除手順は、以下のとおりです。

  1. このファイルの中のPrettyRepar.regファイルを実行してください。レジストリが修復されます。
  2. PCを再起動します。
  3. ウイルススキャンによってPretty.parkに感染していると特定されたファイル(FILES32.VXD)を削除します。以上で駆除は完了です。