Kaspersky Threats

Třída

Platfoma

Popis

Technické údaje

Jedná se o první známý internetový červ, který byl spuštěn jako soubor PIF (soubor s informacemi o programu Windows). Tělo červa je standardní soubor Windows PIF, ale se zvláštním vnitřním rutinou.

V infikovaných systémech může být červ nalezen ve třech různých formách:

– jako samotný soubor PIF
– jako soubor DOS BAT šířící se v místním počítači
– jako INI skript pro šíření prostřednictvím IRC kanálů

Všechny tři tyto součásti jsou stejný soubor, ale s různými názvy a rozšířeními. Jsou obsaženy systémem různými způsoby (jako soubor PIF, jako DOS dávkový program, jako mIRC skript) a jejich funkce je odlišná.

Červa také roztáhne soubor pomocníka VBS-script, který se šíří e-mailem.

Po spuštění soubor FABLE.PIF vytvoří dvě kopie s názvy: C: TEST.BAT a% WinDir% BackUp570.pif. Poté spustí C: TEST.BAT, který se pak spustí jako DOS dávkový soubor. Tento dávkový soubor dělá více kopií v různých adresářích a s různými názvy. Existuje více než 30 souborů, například:

% WinDir% CommandMS_Dos_Prompt.pif
% WinDir% MS_Dos_Prompt.pif
% WinDir% Game.pif
% WinDir% MrBat.bat
% WinDir% Plans.bat
% WinDir% TasksDefault.bat

Některé z těchto souborů mají atributy "Skryté" a "Jen pro čtení". Červ samostatně vytváří soubory INI pro klienty mIRC a soubory VBS-script:

% WinDir% Blah.vbs
% WinDir% Blah2.vbs
C: mIRCScript.ini
C: Program Filescript.ini

Soubor INI slouží k šíření prostřednictvím IRC kanálů. Skript VBS vytvoří soubor WINSTART.BAT v adresáři systému Windows, včetně příkazů pro kopii samotné při spuštění operačního systému. Poté virus vkládá skripty prostřednictvím API aplikace Outlook a vytváří a odešle zprávu každému příjemci v adresáři. Zpráva obsahuje náhodně zvolený předmět z následujících textů:

Bajka
Něco, co byste měli číst
Důležité je, abyste dostali toto

Tělo zprávy se skládá z jedné ze dvou frází:

Pěkná malá bajka
Chtěla jste se ujistit, že jste to dostali

Soubor FABLE.PIF je připojen ke každé zprávě.

Po odeslání zpráv odesílá červa textovou zprávu:

Kobylka a sova sova, zvyklí si, že se bude krmit v noci a spát během dne, byl velmi znepokojen hlukem kobylky a vážně ji prosil o to, aby přestal slyšet. Kobylka se odmítla opustit a hlasitěji a hlasitěji křičel, čím víc sovu prosil. Když viděla, že nemůže dostat žádnou nápravu a že její slova byla pohrdávána, sova napadla hlupáka nástrahami. "Jelikož nemůžu spát," prohlásil, "pro tvou píseň, která, věř mi, je sladká jako lóra Apolla, dovolím si vypít nějaký nektar, který mě nedávno dal Pallas. pojď ke mně a my to vypijeme spolu. " Kobylka, která byla žíznivá a spokojená s chválou jejího hlasu, dychtivě vzlétla. Sova vyšla z dutiny, chytila ji a zavraždila ji.

Odkaz na originál

Zjistěte statistiky hrozeb šířících se ve vašem regionu

Třída	Email-Worm
Platfoma	PIF
Popis	Technické údaje Jedná se o první známý internetový červ, který byl spuštěn jako soubor PIF (soubor s informacemi o programu Windows). Tělo červa je standardní soubor Windows PIF, ale se zvláštním vnitřním rutinou. V infikovaných systémech může být červ nalezen ve třech různých formách: – jako samotný soubor PIF – jako soubor DOS BAT šířící se v místním počítači – jako INI skript pro šíření prostřednictvím IRC kanálů Všechny tři tyto součásti jsou stejný soubor, ale s různými názvy a rozšířeními. Jsou obsaženy systémem různými způsoby (jako soubor PIF, jako DOS dávkový program, jako mIRC skript) a jejich funkce je odlišná. Červa také roztáhne soubor pomocníka VBS-script, který se šíří e-mailem. Po spuštění soubor FABLE.PIF vytvoří dvě kopie s názvy: C: TEST.BAT a% WinDir% BackUp570.pif. Poté spustí C: TEST.BAT, který se pak spustí jako DOS dávkový soubor. Tento dávkový soubor dělá více kopií v různých adresářích a s různými názvy. Existuje více než 30 souborů, například: % WinDir% CommandMS_Dos_Prompt.pif % WinDir% MS_Dos_Prompt.pif % WinDir% Game.pif % WinDir% MrBat.bat % WinDir% Plans.bat % WinDir% TasksDefault.bat Některé z těchto souborů mají atributy "Skryté" a "Jen pro čtení". Červ samostatně vytváří soubory INI pro klienty mIRC a soubory VBS-script: % WinDir% Blah.vbs % WinDir% Blah2.vbs C: mIRCScript.ini C: Program Filescript.ini Soubor INI slouží k šíření prostřednictvím IRC kanálů. Skript VBS vytvoří soubor WINSTART.BAT v adresáři systému Windows, včetně příkazů pro kopii samotné při spuštění operačního systému. Poté virus vkládá skripty prostřednictvím API aplikace Outlook a vytváří a odešle zprávu každému příjemci v adresáři. Zpráva obsahuje náhodně zvolený předmět z následujících textů: Bajka Něco, co byste měli číst Důležité je, abyste dostali toto Tělo zprávy se skládá z jedné ze dvou frází: Pěkná malá bajka Chtěla jste se ujistit, že jste to dostali Soubor FABLE.PIF je připojen ke každé zprávě. Po odeslání zpráv odesílá červa textovou zprávu: Kobylka a sova sova, zvyklí si, že se bude krmit v noci a spát během dne, byl velmi znepokojen hlukem kobylky a vážně ji prosil o to, aby přestal slyšet. Kobylka se odmítla opustit a hlasitěji a hlasitěji křičel, čím víc sovu prosil. Když viděla, že nemůže dostat žádnou nápravu a že její slova byla pohrdávána, sova napadla hlupáka nástrahami. "Jelikož nemůžu spát," prohlásil, "pro tvou píseň, která, věř mi, je sladká jako lóra Apolla, dovolím si vypít nějaký nektar, který mě nedávno dal Pallas. pojď ke mně a my to vypijeme spolu. " Kobylka, která byla žíznivá a spokojená s chválou jejího hlasu, dychtivě vzlétla. Sova vyšla z dutiny, chytila ji a zavraždila ji.
	Odkaz na originál
	Zjistěte statistiky hrozeb šířících se ve vašem regionu

Email-Worm.PIF.Fable

Technické údaje