||Ana Sayfa||

 solq.gif (6374 bytes)
yahoo.gif (465 bytes)
HOUSECALL PRETTY PARK ViRUSU:
PrettyPark'a dikkat

Yeni e-posta virüsü PrettyPark, önemli bilgilerinizi çalabiliyor. Virüsün en önemli silahı, kendi IRC kanalıyla birlikte gelmesi. Bu yazıda PrettyPark'tan nasıl kurtulacağınızı anlatıyoruz.


Fransa kökenli olduğu tahmin edilen yeni e-posta virüsü PrettyPark, yalnızca ABD'de, bir haftasonunda 2,000'den fazla bilgisayarı vurdu. Pretty Park'ın dikkat çeken özelliği, truva atı (trojan) yetilerine sahip bir worm (biz solucan diye çevirmeyi tercih ediyoruz), yani kendini kopyalayabilen fakat diğer programlara bulaşmayan türden olması.

Virüs, MS Windows kullanıcılarının sistemlerini, kullanıcıların bilgisi dışında, özel bir IRC kanalına bağlıyor.

Bağlandıktan sonra, kullanıcının kişisel verileri (e-posta adres defteri, işletim sistemi tercihleri, kayıt numaraları, şifreler, hatta kaydedilmişse kredi kartı bilgileri de) virüs yazarı tarafından ele geçirilebiliyor. Pretty Park, truva atı özellikleri ve kendi IRC kanalını taşıyan ilk worm olarak tanımlanıyor.

E-postayla yayılıyor


Virüs, bir bilgisayara, kullanıcının e-postaya iliştirilmiş PrettyPark.EXE dosyasını çalıştırmasıyla bulaşıyor. Çalışmasıyla birlikte, ndows'un üç boyutlu borularını görüntüleyen 3D-pipe ekran koruyucusu devreye giriyor. Bu arada, virüs de kendini kopyalayıp kullanıcının İnternet adres defterindeki listeye kendini postalamaya başlıyor. PrettyPark, kullanıcıya far ettirmeden, bu rutini 30 dakikada bir tekrarlıyor. Ayrıca, kullanıcı İnteret'e bağlıyken, kendi IRC kanalına da bağlanabiliyor.

Şimdiye kadar, PrettyPark, yalnızca Windows tabanlı sistemlere zarar verdi. Virüsün Windows dışı işletim sistemlerinde bir zarar yol açtığına dair, herhangi bir veri yok.

Nasıl korunacaksınız?

Her şeyden önce, e-postalarınıza iliştirilmiş, PrettyPark.EXE isimli bir dosya görürseniz, bu dosyayı çalıştırmayın ve hemen silin. Ama en önemlisi, antivirüs yazılımınızı güncelleyin. Popüler antivirüs yazılım firmaları, bu virüse karşı güncellemelerini İnternet'e koymakta gecikmediler.

Teknik olarak, PrettyPark'ın yaptığı şey şudur:


Windows\System dizininde FILES32.VXD adında bir dosya oluşturur.


Ardından, Windows'un temel sistem özelliklerinin tutulduğu Registry'deki
HKEY_LOCAL_MACHINE\Software\CLASSES\
exefile\shell\open\command
anahtarının değerini değiştirir.

Bu değişikliklerden ve dolayısıyla virüsten, kendi kendinize kurtulmak isterseniz, Regedit'i kullanarak, Windows kayıtlarına girmeli ve sözü edilen anahtarın değerini değiştirmelisiniz.

Fakat bu işin daha kolayı, küçük bir registry komutunu içeren pretty4r.zip dosyasını indirmek. Bu dosyayı indirip içindeki Pretty Repair.reg dosyasına çift tıklayın. Windows'un, "Registry ayarlarını değiştimek istediğinizden emin misiniz" yollu sorusuna "Evet" yanıtını verin. Böylece PrettyPark'ın Windows kayıtlarına bıraktığı iz silinecektir.

Ardından,


Windows\System dizinindeki FILES32.VXD dosyasını ve sisteminizdeki PrettyPark.EXE dosyasını silin. Kurtuldunuz demektir.

 

[email protected]