Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es el primer gusano de Internet conocido ejecutado como un archivo PIF (archivo de información del programa de Windows). El cuerpo del gusano es un archivo PIF estándar de Windows, pero con una rutina interna especial.

En sistemas infectados, el gusano se puede encontrar en tres formas diferentes:

– como un archivo PIF en sí
– como un archivo DOS BAT que se propaga en una computadora local
– como una secuencia de comandos INI para difundir a través de canales de IRC

Los tres componentes son el mismo archivo, pero con diferentes nombres y extensiones. Están contenidos por un sistema de diferentes maneras (como archivo PIF, como programa por lotes DOS, como secuencia de comandos mIRC) y su funcionalidad es diferente.

El gusano también suelta un archivo-ayudante de script VBS para propagarse por correo electrónico.

Después de ejecutarse, el archivo-gusano FABLE.PIF realiza dos copias de sí mismo con los nombres: C: TEST.BAT y% WinDir% BackUp570.pif. A continuación, ejecuta C: TEST.BAT que luego se ejecuta como un archivo por lotes de DOS. Este archivo por lotes realiza varias copias más en diferentes directorios y con diferentes nombres. Hay más de 30 archivos, por ejemplo:

% WinDir% CommandMS_Dos_Prompt.pif
% WinDir% MS_Dos_Prompt.pif
% WinDir% Game.pif
% WinDir% MrBat.bat
% WinDir% Plans.bat
% WinDir% TasksDefault.bat

Algunos de estos archivos tienen los atributos "Oculto" y "Solo lectura". Por separado, el gusano crea archivos INI para clientes mIRC y archivos VBS-script:

% WinDir% Blah.vbs
% WinDir% Blah2.vbs
C: mIRCScript.ini
C: Archivos de programaScript.ini

El archivo INI se usa para propagarse a través de canales IRC. La secuencia de comandos de VBS crea el archivo WINSTART.BAT en el directorio de Windows, incluidos los comandos para una copia en ejecución cuando se inicia el sistema operativo. Después de eso, los scripts de virus a través de API Outlook y crea y envía un mensaje a cada destinatario en la libreta de direcciones. El mensaje contiene un tema elegido al azar de los siguientes textos:

Fábula
Algo que deberías leer
Muy importante que recibas esto

El cuerpo del mensaje consiste en una de dos frases:

Una pequeña fábula
Quería asegurarte de que recibiste esto

El archivo FABLE.PIF se adjunta a cada mensaje.

Una vez que se han enviado los mensajes, el gusano elimina el mensaje de texto:

El saltamontes y el búho Un búho, acostumbrado a alimentarse por la noche y dormir durante el día, se sintió muy perturbado por el ruido de un saltamontes y le suplicó fervientemente que dejara de gorjear. El Saltamontes se negó a desistir, y gorjeó más y más cuanto más le suplicaba el Búho. Cuando vio que no podía obtener ninguna reparación y que sus palabras eran despreciadas, el Búho atacó al charlatán con una estratagema. "Como no puedo dormir", dijo, "a causa de tu canción que, créeme, es dulce como la lira de Apolo, me permitiré beber un poco de néctar que últimamente Pallas me dio. Si no te desagrada, ven a mí y lo tomaremos juntos ". El Saltamontes, que estaba sediento y complacido con la alabanza de su voz, voló con entusiasmo. El búho salió de su hueco, la agarró y la mató.

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	PIF
Descripción	Detalles técnicos Este es el primer gusano de Internet conocido ejecutado como un archivo PIF (archivo de información del programa de Windows). El cuerpo del gusano es un archivo PIF estándar de Windows, pero con una rutina interna especial. En sistemas infectados, el gusano se puede encontrar en tres formas diferentes: – como un archivo PIF en sí – como un archivo DOS BAT que se propaga en una computadora local – como una secuencia de comandos INI para difundir a través de canales de IRC Los tres componentes son el mismo archivo, pero con diferentes nombres y extensiones. Están contenidos por un sistema de diferentes maneras (como archivo PIF, como programa por lotes DOS, como secuencia de comandos mIRC) y su funcionalidad es diferente. El gusano también suelta un archivo-ayudante de script VBS para propagarse por correo electrónico. Después de ejecutarse, el archivo-gusano FABLE.PIF realiza dos copias de sí mismo con los nombres: C: TEST.BAT y% WinDir% BackUp570.pif. A continuación, ejecuta C: TEST.BAT que luego se ejecuta como un archivo por lotes de DOS. Este archivo por lotes realiza varias copias más en diferentes directorios y con diferentes nombres. Hay más de 30 archivos, por ejemplo: % WinDir% CommandMS_Dos_Prompt.pif % WinDir% MS_Dos_Prompt.pif % WinDir% Game.pif % WinDir% MrBat.bat % WinDir% Plans.bat % WinDir% TasksDefault.bat Algunos de estos archivos tienen los atributos "Oculto" y "Solo lectura". Por separado, el gusano crea archivos INI para clientes mIRC y archivos VBS-script: % WinDir% Blah.vbs % WinDir% Blah2.vbs C: mIRCScript.ini C: Archivos de programaScript.ini El archivo INI se usa para propagarse a través de canales IRC. La secuencia de comandos de VBS crea el archivo WINSTART.BAT en el directorio de Windows, incluidos los comandos para una copia en ejecución cuando se inicia el sistema operativo. Después de eso, los scripts de virus a través de API Outlook y crea y envía un mensaje a cada destinatario en la libreta de direcciones. El mensaje contiene un tema elegido al azar de los siguientes textos: Fábula Algo que deberías leer Muy importante que recibas esto El cuerpo del mensaje consiste en una de dos frases: Una pequeña fábula Quería asegurarte de que recibiste esto El archivo FABLE.PIF se adjunta a cada mensaje. Una vez que se han enviado los mensajes, el gusano elimina el mensaje de texto: El saltamontes y el búho Un búho, acostumbrado a alimentarse por la noche y dormir durante el día, se sintió muy perturbado por el ruido de un saltamontes y le suplicó fervientemente que dejara de gorjear. El Saltamontes se negó a desistir, y gorjeó más y más cuanto más le suplicaba el Búho. Cuando vio que no podía obtener ninguna reparación y que sus palabras eran despreciadas, el Búho atacó al charlatán con una estratagema. "Como no puedo dormir", dijo, "a causa de tu canción que, créeme, es dulce como la lira de Apolo, me permitiré beber un poco de néctar que últimamente Pallas me dio. Si no te desagrada, ven a mí y lo tomaremos juntos ". El Saltamontes, que estaba sediento y complacido con la alabanza de su voz, voló con entusiasmo. El búho salió de su hueco, la agarró y la mató.
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.PIF.Fable

Detalles técnicos