Este programa llega a los usuarios en forma de archivo adjunto en un e-mail. Al ejecutarse se instala en el sistema, y envía mensajes con una copia de sí mismo a las direcciones de la Agenda de Direcciones de Windows (Windows Address Book), también informa a usuarios de determinados canales IRC sobre configuraciones del sistema y passwords, e incluso puede llegar a usarse como troyano.
El gusano es un archivo PE ejecutable de un tamaño de unos 37 Kbytes comprimido con la utilidad WWPack32. Al descomprimirse, pasa a tener un tamaño real de 58 Kbytes escrito en Delphi. A pesar de este pequeño tamaño -para ser una aplicación Delphi-, el gusano tiene muchas características que lo convierten en un programa peligroso de rápida propagación.
Cuando PrettyPark se ejecuta por primera vez en el sistema, comprueba que no exista una copia anterior en memoria. Para ello, busca una ventana con el encabezamiento ô#32770ö, en caso de no existir tal ventana, el gusano se registra a sí mismo como una aplicaci¢n oculta (no visible en la lista de tareas) y ejecuta su rutina de instalaci¢n.
Una vez activo, entre las acciones que realiza se cuenta el intento de conectar con un servidor de IRC, de entre una lista de trece servicios inclu¡da en el propio virus, y env¡a mensajes a un usuario del chat. De esta forma el autor del virus puede recoger los datos de las estaciones afectadas y monitorizarlas.
Cuando el autor reconoce al gusano, PrettyPark puede ser manipulado, como si de un troyano se tratara, para obtener datos como la lista de discos, directorios, informaci¢n confidencial, logins y passwords de conexi¢n a Internet, etc. Como troyano tambi’n da la opci¢n de eliminar y crear archivos o directorios, ejecutar programas, etc.
Para reproducirse, el virus realiza una rutina cada 30 segundos. Accede al libro de direcciones, para leer las direcciones de email y env¡a un mensaje en el que incluye el archivo PrettyPark.exe como adjunto y, como asunto del mensaje, la l¡nea C:CoolProgsPrettyPark.exe; en el texto del mensaje no incluye nada m s. Con esto, el receptor del mensaje tan s¢lo recibe un archivo ejecutable, pero al provenir de una fuente conocida, lo ejecutar confiado y continuar de esta forma el ciclo de vida del virus.
Panda Antivirus Platinum, detecta este nuevo virus al entrar en el correo electr¢nico, independientemente del programa que se utilice para leer el e-mail. Asimismo, permite bloquear los puertos para impedir que los troyanos, como el Win32/PrettyPark ,se conecten a internet sin consentimiento del usuario.
Para cualquier comentario sobre esta noticia, por favor contacte con Panda Antivirus Platinum en:
mailto:oxygen365_staff@pandasoftware.com
