Email-Worm.Win32.PrettyPark
Po uruchomieniu robak rejestruje si臋 jako ukryta aplikacja i uruchamia procedur臋 instalacyjn膮.
Podczas instalacji szkodnik kopiuje si臋 do systemowego foldera Windows z nazw膮 FILES32.VXD i tworzy klucz w rejestrze systemowym, w wyniku czego uruchamiany jest wraz ze startem ka偶dej aplikacji:
Je偶eli podczas instalacji wyst膮pi b艂膮d robak aktywuje wygaszacz ekranu SSPIPES.SCR lub Canalisation3D.SCR.
Nast臋pnie szkodnik inicjuje po艂膮czenie z internetem i uruchamia dwie procedury. Pierwsza aktywowana jest co 30 sekund i pr贸buje 艂膮czy膰 si臋 z czatem IRC, wykorzystuj膮c poni偶sz膮 list臋 serwer贸w:
irc.twiny.net irc.stealth.net irc.grolier.net irc.club-internet.fr ircnet.irc.aol.com irc.emn.fr irc.anet.com irc.insat.com irc.ncal.verio.net irc.cifnet.com irc.skybel.net irc.eurecom.fr irc.easynet.co.uk
Druga procedura aktywowana jest co 30 minut. Jej dzia艂anie polega na wysy艂aniu wiadomo艣ci e-mail do wszystkich u偶ytkownik贸w zapisanych w ksi膮偶ce adresowej systemu Windows. Wiadomo艣膰 ta zawiera nast臋puj膮cy tekst:
C:CoolProgsPretty Park.exe
oraz kopi臋 robaka.