PrettyParkは32ビットウインドウズプログラムで、Windows95/98/NT環境を狙って作成された、一種のワームプログラムです。
PrettyPark.exeを実行すると、最初にsspipes.scr、またはCanalisations 3D.scrというファイル名のスクリーンセーバープログラムがあれば、それを実行します。これは英語版Windowsの3Dパイプスクリーンセーバーですが、日本語版Windowsでは、これらのスクリーンセーバープログラムの名前も日本語になっているので、何も起こらないことになります。
次に、自分自身をWindows\system(NTの時はWinnt\system32)フォルダに、Files32.vxdという、一見、システムファイルと見間違えそうなファイル名でコピーします。そして、レジストリの
「HKEY_CLASSES_ROOT\exefile\shell\open\command」および
「HKEY_LOCAL_MACHINE\Software\CLASSES\exefile\open\command」の値を、
「""%1" %*"」から「"Files32.vxd"%1" %*"」に変更します。
このレジストリは、プログラムアイコンがクリックされた時などに、どのような動作をするかという設定です。
この変更よって、他のプログラムの実行の前に、ワームも自動的に実行され、システムに常駐します。
次の起動のときにも、PrettyParkは自動的に実行されて、システムに常駐するようになります。
(Windows NT環境の場合で管理者権限のないユーザーがPrettyParkを実行した場合は、レジストリの書き換えに失敗するので、ワームを実行してから、その日にシステムを終了するまで動作し、その後は自動的に実行されることはありません)
ワームがシステムに常駐すると、インターネット接続されている場合は30秒毎に、ワーム内部にセットされている13個のIRCサーバーのうちのひとつに接続しようとします。
接続できない場合は、順番にIRCサーバーを変更して接続しようと試みます。
接続された場合は、乱数で作成した8文字のニックネームを使い、待機状態となります。
この状態では、一種のバックドアプログラムとして動作していますので、コマンドによってウイルス作者/配布者等にネットワーク接続パスワードや電話番号、IDなどの情報を流す動作のほか、リモートファイル転送、リモートプログラム実行などの動作を許す危険があります。
ただし、ワームに登録されているIRCサーバーは、すべて日本国外に存在しているため、.jpドメインからの接続は、これらのIRCサーバーに拒否されるのが普通です。
よって、国内のプロバイダから接続している場合は、IRCによるバックドア攻撃の被害にあう可能性は低いものと考えられます。
(ホスト名が.comとなっている場合もあるので、必ずしも安全というわけではありません)
また、OutlookExpressで利用するウインドウズアドレス帳に登録してあるメールアドレスすべてに、PrettyPark.exeという名前の自分自身を添付したメールを送信します。
(つまり、あなたの知らないうちに、友人や知人にウイルスを撒き散らしてしまうのです。しかもあなたの名前で。)
この送信は30分毎に試みられ、ユーザーがインターネットに接続し、メール送信が成功するまで繰り返されます。
送信に成功すると、windowsフォルダ内のtempフォルダに、smtpサーバー名と同じ名前の長さ0バイトのファイルが作成され、以後同一のメールサーバーからは、ワーム添付メールは送信されません。
ダイアルアップ接続を利用している場合は、パソコンを起動するたびに勝手にダイアルアップ接続が始まり、キャンセルしても数回にわたってダイアルアップが繰り返されるという、奇妙な現象に悩まされることになります。
なお、PretttyParkのプログラムには、IRCクライアント機能およびメール送信機能の両方が含まれているため、IRCクライアントがインストールされていない環境でも、IRCを利用したバックドアが動作し、ウインドウズアドレス帳さえあれば、たとえOutlookExpressがインストールされていなくとも、ワーム添付メールの送信は行われます。