Email-Worm.PIF.Fable

技術的な詳細

これは、PIFファイル（Windowsプログラム情報ファイル）として実行される最初の既知のインターネットワームです。ワームの本体は標準のWindows PIFファイルですが、特殊な内部ルーチンがあります。

感染したシステムでは、このワームは3つの異なる形式で検出されます。

– PIFファイル自体として
– ローカルコンピュータ上に広がるDOS BATファイルとして
– IRCチャネルを介して広がるINIスクリプトとして

これら3つのコンポーネントはすべて同じファイルですが、名前と拡張子は異なります。それらは、システムによって異なる方法で（PIRファイルとして、DOSバッチプログラムとして、mIRCスクリプトとして）含まれており、それらの機能は異なります。

ワームは、VBSスクリプトファイルヘルパーをドロップして電子メールで感染させる。

実行後、FABLE.PIFファイルワームは、C：TEST.BATと％WinDir％BackUp570.pifという名前の2つのコピーを作成します。次に、C：TEST.BATを実行し、DOSバッチファイルとして実行されます。このバッチファイルは、複数の異なるディレクトリと異なる名前で複数のコピーを作成します。たとえば、30個以上のファイルがあります。

％WinDir％CommandMS_Dos_Prompt.pif
％WinDir％MS_Dos_Prompt.pif
％WinDir％Game.pif
％WinDir％MrBat.bat
％WinDir％Plans.bat
％WinDir％TasksDefault.bat

これらのファイルには、「隠しファイル」と「読み取り専用ファイル」の属性があります。これとは別に、このワームは、mIRCクライアントとVBSスクリプトファイル用のINIファイルを作成します。

％WinDir％Blah.vbs
％WinDir％Blah2.vbs
C：mIRCScript.ini
C：プログラムFilesScript.ini

INIファイルは、IRCチャネルを介して拡散するために使用されます。 VBSスクリプトは、WINSTART.BATファイルをWindowsディレクトリに作成します.WindSTART.BATファイルには、運用システムの起動時に実行自体のコピーを含むコマンドが含まれます。その後、ウイルスはAPI Outlookを介してスクリプトを作成し、アドレス帳のすべての受信者にメッセージを作成して送信します。このメッセージには、次のテキストのランダムに選択された件名が含まれています。

寓話
あなたが読むべきもの
あなたがこれを受け取ることは非常に重要です

メッセージの本文は、次の2つのフレーズのいずれかで構成されます。

素敵な小さな寓話
あなたがこれを受け取ったことを確認したい

FABLE.PIFファイルはすべてのメッセージに添付されています。

メッセージが送信された後、ワームはテキストメッセージを取り出します。

グラスホッパーとフクロウは、夜に餌を与え、その日に眠るのに慣れていましたが、グラスホッパーの騒音によって大きく邪魔され、怒鳴りを止めるよう真剣に要請しました。グラスホッパーは、フクロウがより多くを惹きつけたほど、嫌がることを拒否しました。彼女は救済を受けることができず、彼女の言葉が軽蔑されているのを見たとき、フクロウは戦闘員を攻略で攻撃した。 「私は眠れないので、私を信じているあなたの歌がアポロの抒情詩のように甘いから、パラスが最近私に与えた蜜を飲むことに夢中になるだろう」あなたがそれを嫌うのでなければ、私に来て、一緒に飲むだろう」喉が渇いていて、彼女の声を賞賛していたグラスホッパーは熱心に飛んでいった。フクロウは彼女の中空から出て、彼女を押収し、彼女を殺した。