Email-Worm.Win32.PrettyPark

Jest to robak rozprzestrzeniaj膮cy si臋 przez internet jako za艂膮cznik zainfekowanych wiadomo艣ci e-mail. Ma posta膰 pliku PE EXE o rozmiarze oko艂o 37 KB (kompresja WWPack32, rozmiar po rozpakowaniu - oko艂o 58 KB). Szkodnik powsta艂 przy u偶yciu 艣rodowiska programistycznego Delphi.

Po uruchomieniu robak rejestruje si臋 jako ukryta aplikacja i uruchamia procedur臋 instalacyjn膮.

Podczas instalacji szkodnik kopiuje si臋 do systemowego foldera Windows z nazw膮 FILES32.VXD i tworzy klucz w rejestrze systemowym, w wyniku czego uruchamiany jest wraz ze startem ka偶dej aplikacji:

Je偶eli podczas instalacji wyst膮pi b艂膮d robak aktywuje wygaszacz ekranu SSPIPES.SCR lub Canalisation3D.SCR.

Nast臋pnie szkodnik inicjuje po艂膮czenie z internetem i uruchamia dwie procedury. Pierwsza aktywowana jest co 30 sekund i pr贸buje 艂膮czy膰 si臋 z czatem IRC, wykorzystuj膮c poni偶sz膮 list臋 serwer贸w:

irc.twiny.net
irc.stealth.net
irc.grolier.net
irc.club-internet.fr
ircnet.irc.aol.com
irc.emn.fr
irc.anet.com
irc.insat.com
irc.ncal.verio.net
irc.cifnet.com
irc.skybel.net
irc.eurecom.fr
irc.easynet.co.uk

Druga procedura aktywowana jest co 30 minut. Jej dzia艂anie polega na wysy艂aniu wiadomo艣ci e-mail do wszystkich u偶ytkownik贸w zapisanych w ksi膮偶ce adresowej systemu Windows. Wiadomo艣膰 ta zawiera nast臋puj膮cy tekst:

C:CoolProgsPretty Park.exe

oraz kopi臋 robaka.