Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

Il s'agit du premier ver Internet connu exécuté sous la forme d'un fichier PIF (fichier d'informations sur le programme Windows). Le corps du ver est un fichier Windows PIF standard, mais avec une routine interne spéciale.

Dans les systèmes infectés, le ver peut se trouver sous trois formes différentes:

– en tant que fichier PIF
– en tant que fichier DOS BAT se propageant sur un ordinateur local
– en tant que script INI à diffuser via les canaux IRC

Ces trois composants sont tous les mêmes, mais avec des noms et des extensions différents. Ils sont contenus par un système de différentes manières (en tant que fichier PIF, en tant que programme batch DOS, en tant que script mIRC) et leur fonctionnalité est différente.

Le ver dépose également un fichier auxiliaire VBS-script pour le diffuser par courrier électronique.

Après l'exécution, le ver fichier FABLE.PIF fait deux copies de lui-même avec les noms: C: TEST.BAT et% WinDir% BackUp570.pif. Ensuite, il exécute C: TEST.BAT qui est ensuite exécuté en tant que fichier batch DOS. Ce fichier batch fait plusieurs copies supplémentaires dans différents répertoires et avec des noms différents. Il y a plus de 30 fichiers, par exemple:

% WinDir% CommandMS_Dos_Prompt.pif
% WinDir% MS_Dos_Prompt.pif
% WinDir% Game.pif
% WinDir% MrBat.bat
% WinDir% Plans.bat
% WinDir% TasksDefault.bat

Certains de ces fichiers ont les attributs "Caché" et "Lecture seule". Séparément, le ver crée des fichiers INI pour les clients mIRC et les fichiers de script VBS:

% WinDir% Blah.vbs
% WinDir% Blah2.vbs
C: mIRCScript.ini
C: programme FilesScript.ini

Le fichier INI est utilisé pour la diffusion via les canaux IRC. Le script VBS crée le fichier WINSTART.BAT dans le répertoire Windows, y compris les commandes pour une copie run-itself lorsque le système d'exploitation démarre. Après cela, les scripts de virus via API Outlook et crée et envoie un message à chaque destinataire dans le carnet d'adresses. Le message contient un sujet choisi au hasard parmi les textes suivants:

Fable
Quelque chose que vous devriez lire
Très important que vous receviez ceci

Le corps du message est constitué de l'une des deux phrases suivantes:

Une belle petite fable
Je voulais être sûr que vous avez reçu cette

Le fichier FABLE.PIF est joint à chaque message.

Après que les messages ont été envoyés, le ver sort le message texte:

La sauterelle et le hibou Un hibou, habitué à se nourrir la nuit et à dormir pendant la journée, fut très troublé par le bruit d'une sauterelle et lui demanda instamment d'arrêter de pépier. La sauterelle refusa de se désister, et pépia de plus en plus fort, plus le hibou suppliait. Quand elle a vu qu'elle ne pouvait obtenir aucune réparation et que ses mots étaient méprisés, le hibou a attaqué le bavard par un stratagème. – Puisque je ne dors pas, dit-elle, à cause de votre chant qui, croyez-moi, est doux comme la lyre d'Apollon, je me permettrai de boire un peu de nectar que Pallas m'a donné dernièrement, si vous ne me déplaît pas, viens à moi et nous le boirons ensemble. La Sauterelle, qui avait soif et se félicitait de l'éloge de sa voix, s'envola avec empressement. Le hibou est sorti de son creux, l'a saisie, et l'a mise à mort.

Lien vers l'original

Classe	Email-Worm
Plateforme	PIF
Description	Détails techniques Il s'agit du premier ver Internet connu exécuté sous la forme d'un fichier PIF (fichier d'informations sur le programme Windows). Le corps du ver est un fichier Windows PIF standard, mais avec une routine interne spéciale. Dans les systèmes infectés, le ver peut se trouver sous trois formes différentes: – en tant que fichier PIF – en tant que fichier DOS BAT se propageant sur un ordinateur local – en tant que script INI à diffuser via les canaux IRC Ces trois composants sont tous les mêmes, mais avec des noms et des extensions différents. Ils sont contenus par un système de différentes manières (en tant que fichier PIF, en tant que programme batch DOS, en tant que script mIRC) et leur fonctionnalité est différente. Le ver dépose également un fichier auxiliaire VBS-script pour le diffuser par courrier électronique. Après l'exécution, le ver fichier FABLE.PIF fait deux copies de lui-même avec les noms: C: TEST.BAT et% WinDir% BackUp570.pif. Ensuite, il exécute C: TEST.BAT qui est ensuite exécuté en tant que fichier batch DOS. Ce fichier batch fait plusieurs copies supplémentaires dans différents répertoires et avec des noms différents. Il y a plus de 30 fichiers, par exemple: % WinDir% CommandMS_Dos_Prompt.pif % WinDir% MS_Dos_Prompt.pif % WinDir% Game.pif % WinDir% MrBat.bat % WinDir% Plans.bat % WinDir% TasksDefault.bat Certains de ces fichiers ont les attributs "Caché" et "Lecture seule". Séparément, le ver crée des fichiers INI pour les clients mIRC et les fichiers de script VBS: % WinDir% Blah.vbs % WinDir% Blah2.vbs C: mIRCScript.ini C: programme FilesScript.ini Le fichier INI est utilisé pour la diffusion via les canaux IRC. Le script VBS crée le fichier WINSTART.BAT dans le répertoire Windows, y compris les commandes pour une copie run-itself lorsque le système d'exploitation démarre. Après cela, les scripts de virus via API Outlook et crée et envoie un message à chaque destinataire dans le carnet d'adresses. Le message contient un sujet choisi au hasard parmi les textes suivants: Fable Quelque chose que vous devriez lire Très important que vous receviez ceci Le corps du message est constitué de l'une des deux phrases suivantes: Une belle petite fable Je voulais être sûr que vous avez reçu cette Le fichier FABLE.PIF est joint à chaque message. Après que les messages ont été envoyés, le ver sort le message texte: La sauterelle et le hibou Un hibou, habitué à se nourrir la nuit et à dormir pendant la journée, fut très troublé par le bruit d'une sauterelle et lui demanda instamment d'arrêter de pépier. La sauterelle refusa de se désister, et pépia de plus en plus fort, plus le hibou suppliait. Quand elle a vu qu'elle ne pouvait obtenir aucune réparation et que ses mots étaient méprisés, le hibou a attaqué le bavard par un stratagème. – Puisque je ne dors pas, dit-elle, à cause de votre chant qui, croyez-moi, est doux comme la lyre d'Apollon, je me permettrai de boire un peu de nectar que Pallas m'a donné dernièrement, si vous ne me déplaît pas, viens à moi et nous le boirons ensemble. La Sauterelle, qui avait soif et se félicitait de l'éloge de sa voix, s'envola avec empressement. Le hibou est sorti de son creux, l'a saisie, et l'a mise à mort.
	Lien vers l'original

Email-Worm.PIF.Fable

Détails techniques