안철수컴퓨터바이러스연구소는 국내에 Pretty Park의 변종인 I-Worm/PrettyPark.60928이 국내에 유입되었다고 밝히고, 이에 치료 방법을 제시하였다. I-Worm/PrettyPark.60928은 외국산 웜으로 2000년 2월 15일 발견되었고 국내에는 2월 25일 유입되었다. 원형 I-Worm/PrettyPark의 압축을 푼 형태로, 원형이 37376바이트인 데 비해 이 웜은 60928바이트이다. 나머지 증상은 원형과 동일하다.
<br>
<br>
PrettyPark.60928은 사용자의 컴퓨터 이름부터 E-mail 주소, 사용자 비밀번호 등의 여러 정보를 IRC 서버로 보내 웜 제작자가 다양한 정보를 수집할 수 있게 한다. 웜 제작자는 웜을 백도어(백오리피스와 같은 해킹 툴)로도 활용할 수 있다.
<br>
<br>
웜 프로그램이 실행되면 시스템 폴더(보통 C:\WINDOWS\SYSTEM)에 FILES32.VXD 파일을 만들고 레지스트리를 변경한다. 레지스크리가 변경된 후에는 모든 EXE 파일이 실행될 때마다 FILES32.VXD 파일이 먼저 실행되어 웜이 활동을 한다. 즉, 30분 간격으로 웜이 첨부된 메일을 발송하고 사용자 정보를 유출시킨다. 첨부되는 파일이름은 "Pretty Park.exe"로 "South Park"란 애니메이션에 나오는 인물이 아이콘으로 나온다.
<br>
<br>
이 웜 프로그램을 치료하려면 2000년 2월 25일자 V3 엔진과 자체 제작한 배치파일(KILLPPRK.BAT)을 동시에 실행시켜야 한다. 이 배치 파일을 도스 창이나 윈도우의 탐색기에서 실행하면 레지스트리가 자동으로 편집된다. 단, 웜을 이미 치료했을 경우에는 도스창에서만 실행 가능하므로, 웜만 삭제하면 이후 EXE 파일을 실행할 수 없게 되므로 주의해야 한다.
<br>
<br>
KILLPPRK.BAT를 실행하여 레지스트리가 편집된 사용자는 윈도우의 도스창에서는 파일이 삭제가 되지 않으므로 반드시 MS-DOS 모드로 시스템을 재부팅한 후에 V3.EXE를 실행하여 진단된 파일을 삭제해야 한다.
<br>
<br>
KILLPPRK.BAT 파일을 실행하기 전에 먼저 C:\WINDOWS 폴더에 있는 USER.DAT 파일과 SYSTEM.DAT 파일을 백업해 두는 것이 좋다. 파일을 실행한 후 윈도우에 이상이 있는 경우 백업해둔 파일을 다시 덮어 씌우고 수동으로 레지스트리 편집기를 이용해서 수정해야 한다.
<br>
<br>
KILLPPRK.BAT 파일은 감염되지 않은 상태에서는 절대 실행하지 말아야 한다. 이 파일을 실행하기 전 반드시 V3로 감염 여부를 검사한 후 감염되었다고 진단된 사용자들만 이 파일을 실행한다.
<br>
<br>
V3 2월 25일자 엔진과 KILLPPRK.BAT 파일(killpprk.zip 형태로 제공)은 인터넷(www.ahnlab.com)과 PC 통신(천리안, 하이텔, 나우누리, 유니텔 GO AHN)에서 내려 받을수 있다.
<!-- -->
