Kaspersky Threats

Kategorie

Plattform

Beschreibung

Technische Details

Dies ist der erste bekannte Internet-Wurm, der als PIF-Datei (Windows Program Information File) ausgeführt wird. Der Wurmkörper ist eine Standard-Windows-PIF-Datei, aber mit einer speziellen Innenroutine.

In infizierten Systemen kann der Wurm in drei verschiedenen Formen gefunden werden:

– als PIF-Datei selbst
– als DOS-BAT-Datei, die sich auf einem lokalen Computer ausbreitet
– als INI-Skript, das über IRC-Kanäle verbreitet wird

Alle drei dieser Komponenten sind die gleiche Datei, aber mit unterschiedlichen Namen und Erweiterungen. Sie sind von einem System auf verschiedene Arten enthalten (als PIF-Datei, als DOS-Stapelprogramm, als mIRC-Skript) und ihre Funktionalität ist unterschiedlich.

Der Wurm löscht auch einen VBS-Skript-Dateihelfer, um ihn per E-Mail zu verbreiten.

Nach dem Ausführen erstellt der Dateiwurm FABLE.PIF zwei Kopien von sich selbst mit den Namen: C: TEST.BAT und% WinDir% BackUp570.pif. Dann führt es C: TEST.BAT aus, das dann als eine DOS-Stapeldatei ausgeführt wird. Diese Stapeldatei erstellt mehrere weitere Kopien in verschiedenen Verzeichnissen und mit unterschiedlichen Namen. Es gibt mehr als 30 Dateien, zum Beispiel:

% WinDir% CommandMS_Dos_Prompt.pif
% WinDir% MS_Dos_Prompt.pif
% WinDir% Spiel.pif
% WinDir% MrBat.bat
% WinDir% Pläne.bat
% WinDir% TasksDefault.bat

Einige dieser Dateien haben die Attribute "Versteckt" und "Schreibgeschützt". Unabhängig davon erstellt der Wurm INI-Dateien für mIRC-Clients und VBS-Skriptdateien:

% WinDir% Blah.vbs
% WinDir% Blah2.vbs
C: mIRCScript.ini
C: ProgrammdateienScript.ini

Die INI-Datei wird für die Verbreitung über IRC-Kanäle verwendet. Das VBS-Skript erstellt die WINSTART.BAT-Datei in dem Windows-Verzeichnis, das Befehle für eine selbst erstellte Kopie enthält, wenn das Betriebssystem gestartet wird. Danach scriptet der Virus über API Outlook und erstellt und sendet eine Nachricht an jeden Empfänger im Adressbuch. Die Nachricht enthält ein zufällig ausgewähltes Thema aus den folgenden Texten:

Fabel
Etwas, das du lesen solltest
Sehr wichtig, dass Sie dies erhalten

Der Nachrichtentext besteht aus zwei Phrasen:

Eine nette kleine Fabel
Wollte sichergehen, dass du das bekommen hast

Die Datei FABLE.PIF ist an jede Nachricht angehängt.

Nachdem die Nachrichten gesendet wurden, entnimmt der Wurm die Textnachricht:

Die Heuschrecke und die Eule Eine Eule, die gewohnt war, nachts zu füttern und tagsüber zu schlafen, wurde durch den Lärm einer Grashüpferin schwer gestört und bat sie dringend, mit dem Zwitschern aufzuhören. Die Grashüpferin weigerte sich, aufzuhören und zwitscherte lauter und lauter, je mehr die Eule bat. Als sie sah, dass sie keine Wiedergutmachung bekommen konnte und dass ihre Worte verachtet wurden, griff die Eule den Schwätzer durch eine List an. "Da ich nicht schlafen kann", sagte sie, "wegen deines Liedes, das, glaube mir, so süß ist wie die Lyron von Apollo, werde ich mich dazu hingeben, etwas Nektar zu trinken, den Pallas mir kürzlich gab. Wenn du es nicht magst, komm zu mir und wir werden es zusammen trinken. " Die Heuschrecke, die durstig war und mit dem Lob ihrer Stimme zufrieden war, flog eifrig auf. Die Eule kam aus ihrer Höhle, ergriff sie und tötete sie.

Link zum Original

Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Kategorie	Email-Worm
Plattform	PIF
Beschreibung	Technische Details Dies ist der erste bekannte Internet-Wurm, der als PIF-Datei (Windows Program Information File) ausgeführt wird. Der Wurmkörper ist eine Standard-Windows-PIF-Datei, aber mit einer speziellen Innenroutine. In infizierten Systemen kann der Wurm in drei verschiedenen Formen gefunden werden: – als PIF-Datei selbst – als DOS-BAT-Datei, die sich auf einem lokalen Computer ausbreitet – als INI-Skript, das über IRC-Kanäle verbreitet wird Alle drei dieser Komponenten sind die gleiche Datei, aber mit unterschiedlichen Namen und Erweiterungen. Sie sind von einem System auf verschiedene Arten enthalten (als PIF-Datei, als DOS-Stapelprogramm, als mIRC-Skript) und ihre Funktionalität ist unterschiedlich. Der Wurm löscht auch einen VBS-Skript-Dateihelfer, um ihn per E-Mail zu verbreiten. Nach dem Ausführen erstellt der Dateiwurm FABLE.PIF zwei Kopien von sich selbst mit den Namen: C: TEST.BAT und% WinDir% BackUp570.pif. Dann führt es C: TEST.BAT aus, das dann als eine DOS-Stapeldatei ausgeführt wird. Diese Stapeldatei erstellt mehrere weitere Kopien in verschiedenen Verzeichnissen und mit unterschiedlichen Namen. Es gibt mehr als 30 Dateien, zum Beispiel: % WinDir% CommandMS_Dos_Prompt.pif % WinDir% MS_Dos_Prompt.pif % WinDir% Spiel.pif % WinDir% MrBat.bat % WinDir% Pläne.bat % WinDir% TasksDefault.bat Einige dieser Dateien haben die Attribute "Versteckt" und "Schreibgeschützt". Unabhängig davon erstellt der Wurm INI-Dateien für mIRC-Clients und VBS-Skriptdateien: % WinDir% Blah.vbs % WinDir% Blah2.vbs C: mIRCScript.ini C: ProgrammdateienScript.ini Die INI-Datei wird für die Verbreitung über IRC-Kanäle verwendet. Das VBS-Skript erstellt die WINSTART.BAT-Datei in dem Windows-Verzeichnis, das Befehle für eine selbst erstellte Kopie enthält, wenn das Betriebssystem gestartet wird. Danach scriptet der Virus über API Outlook und erstellt und sendet eine Nachricht an jeden Empfänger im Adressbuch. Die Nachricht enthält ein zufällig ausgewähltes Thema aus den folgenden Texten: Fabel Etwas, das du lesen solltest Sehr wichtig, dass Sie dies erhalten Der Nachrichtentext besteht aus zwei Phrasen: Eine nette kleine Fabel Wollte sichergehen, dass du das bekommen hast Die Datei FABLE.PIF ist an jede Nachricht angehängt. Nachdem die Nachrichten gesendet wurden, entnimmt der Wurm die Textnachricht: Die Heuschrecke und die Eule Eine Eule, die gewohnt war, nachts zu füttern und tagsüber zu schlafen, wurde durch den Lärm einer Grashüpferin schwer gestört und bat sie dringend, mit dem Zwitschern aufzuhören. Die Grashüpferin weigerte sich, aufzuhören und zwitscherte lauter und lauter, je mehr die Eule bat. Als sie sah, dass sie keine Wiedergutmachung bekommen konnte und dass ihre Worte verachtet wurden, griff die Eule den Schwätzer durch eine List an. "Da ich nicht schlafen kann", sagte sie, "wegen deines Liedes, das, glaube mir, so süß ist wie die Lyron von Apollo, werde ich mich dazu hingeben, etwas Nektar zu trinken, den Pallas mir kürzlich gab. Wenn du es nicht magst, komm zu mir und wir werden es zusammen trinken. " Die Heuschrecke, die durstig war und mit dem Lob ihrer Stimme zufrieden war, flog eifrig auf. Die Eule kam aus ihrer Höhle, ergriff sie und tötete sie.
	Link zum Original
	Informieren Sie sich über die Statistiken der in Ihrer Region verbreiteten Bedrohungen

Email-Worm.PIF.Fable

Technische Details