Pretty Park-virus slaat om zich heen

Het virus Win32.PRETTYPARK.B, ofwel Pretty Park, is de 'slimme' opvolger van de Pretty Park-vandal die vorig jaar al in het nieuws kwam. De vandaal wordt veelal gesignaleerd op grote bedrijfsnetwerken. Pretty Park behoort volgens antivirus-programmeurs thuis in de categorie 'high risk'.

Pretty Park is een nieuwe versie van zijn voorganger die in mei vorig jaar zijn intrede deed. Zo verspreidt het zichzelf eveneens via email-attachments. De nieuwe vandaal heeft dezelfde capaciteiten als het origineel, maar heeft een nog slimmere structuur. De codering van Pretty Park is nu zo opgebouwd dat reguliere antivirus-software de vandaal niet kan herkennen.

Het bestand dat met de email wordt meegestuurd laat een icoontje zien van Kyle, een figuurtje uit een tekenfilmserie. Na het aanklikken van het icoontje krijgt de gebruiker vaak een Windows screensaver te zien. Gelijktijdig infecteert Pretty Park de Windows systeemmap met het bestand FILES32.VXD. De Windows registry wordt op dat moment zo geconfigureerd dat het betreffende bestand telkens wordt uitgevoerd op het moment dat een ander programma wordt gestart.

Verspreiden
Eenmaal geactiveerd, probeert de vandaal zichzelf iedere 30 minuten per e-mail te versturen naar elk opgeslagen adres in het internet-adresboek van de computer. Deze procedure neemt een flinke hoeveelheid server- en netwerkcapaciteit in beslag als er veel gebruikers zijn met grote adresbestanden.

Daarnaast kan Pretty Park ook proberen contact te leggen met de server van een chatbox. De vandaal logt in op een van de chat-kanalen. Om het contact in stand te houden, wordt elke 30 seconden informatie verzonden. Via IRC -een internetdienst waarbij meerdere internetgebruikers gelijktijdig met elkaar kunnen communiceren- kan de maker of verspreider van Pretty Park systeeminformatie over de geïnfecteerde computer ontvangen. Die informatie kan bestaan uit gegevens over gebruikte software, gebruikersnummers voor die software, registratiegegevens van gebruikers, ICQ-identificatie nummers (gegevens van een programma dat nagaat wie van een lijst gebruikers online zijn), ICQ-nicknames (de naam waaronder iemand bekend staat bij gebruik van ICQ), e-mailgegevens en dial-up-networking-gebruikersnamen en wachtwoorden (dial up is het maken van een verbinding met internet). De verbinding via IRC zorgt bovendien voor een beveiligingsgat waardoor ongezien materiaal vanaf de geïnfecteerde computer wordt verwijderd of verstuurd.

Bedreigingen
Vandaalprogramma's bedreigen de toekomst van internet, omdat traditionele antivirus-programma's tot nu toe tamelijk machteloos zijn. Het zijn voorgeprogrammeerde 'slimme' coderingen die onder meer via een bezochte website of via e-mail op de computer van het slachtoffer komen.

Een vandaalprogramma kan bestanden wissen, veranderen of zelfs ontvreemden, zodat de maker ervan ongezien belangrijke (bedrijfs)-gegevens in handen krijgt. Sommige vandalen zijn ook programmeerbaar om (financiële) transacties te verrichten vanaf de computer van de onwetende gebruiker.