Pretty Park ist ein Worm, der über verschiedene Spionagefunktionen (z.B. Passwörter auslesen etc.) verfügt. Diese Informationen werden über IRC an den Autor übermittelt (der sich in einem bestimmten Chat-Raum im IRC befindet). Desweiteren verbreitet sich der Worm selbstständig, indem dieser sich alle 30 Min. in Form eines Attachements (Dateianhang) an alle eingetragenen Adressen des Mailprogrammes Outlook verschickt. Somit konnte sich Pretty Park in seiner "Anfangszeit" extrem stark verbreiten, welches auch der Fall gewesen ist. Der Worm tritt auch unter anderen Namen bzw. Mutanten in Erscheinung: I-Worm.Prettypark.unp, Southpark.trojan, W32/Pretty.worm.unp (keine vollständige Liste !).
Pretty Park ist zum ersten mal am 15.02.2000 in Erscheinung getreten und hat eine Größe von genau 60.928 KB.
Die Autostartfunktionen, sowie die Entfernung des Worms erweisen sich als nicht ganz so einfach. Die Autostartmethoden erinnern an die neueren SubSeven Versionen. Es reicht somit nicht, einfach die PrettyPark.exe zu löschen, da sonst (ausser Outlook und Internet Explorer) keine weiteren Anwendungen mehr ausführt werden können. Das System wäre somit nicht mehr zu gebrauchen.
1. PC im DOS-Modus starten
2. Den Editor öffnen und exakt diesen Text hineinschreiben:
REGEDIT 4
[HKEY_CLASSES_ROOT\exefile\shell\open\command]
@="%1\" %*
Nun diese Datei wie folgt speichern: c:\edit.reg
Die Dateien "Pretty Park.exe" und "Files32.vxd" (das ist quasi der Loader) suchen und löschen. Die Dateien können natürlich zuvor auch unter Windows gesucht werden. Dazu dann den genauen Pfad notieren und NICHT unter Windows vorab löschen !
3. Immer noch im DOS-Modus zurück zum Verzeichnis C:\ und folgenden Befehl eingeben und bestätigen:
regedit edit.reg
Genau wie die neueren SubSeven Versionen verfügt Pretty Park über die Funktion VOR jedem Start einer Anwendung ausgeführt zu werden. Würde man nämlich nicht wie oben beschrieben den Reg.-Eintrag reparieren und lediglich nur die Datei Pretty Park.exe löschen, "fehlt" Windows genau diese Datei zum Ausführen von Anwendungen. So paradox das auch klingen mag.
4. System nun wieder unter Windows starten und alle anderen Autorun-Methoden ebenfalls nach Einträgen durch Pretty Park.exe und gegebenfalls "Files32.vxd" löschen. Hier kämen folgende Eintragungsmöglichkeiten (auch wie bei SubSeven neuerer Version !) in Frage:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\
CurrentVersion\RunServices
Win.ini (Run=Pretty Park.exe.)
System.ini (Shell=explorer.exe pretty park.exe) Bitte nur den pretty park.exe Eintrag löschen. Auf KEINEN FALL explorer.exe ! ! ! !
Wem die Entfernung unter DOS & Co. zu kompliziert erscheint, kann dieses auch unter Windows tun. Dazu gibt es das sehr hilfreiche Programm "TrojanCheck". Doch sollte die Reihenfolge wie hier beschrieben auch eingehalten werden.