Kaspersky Threats

Класс

Платформа

Описание

Technical Details

Данный червь представляет собой PIF-файл и является первым известным Интернет-червем в формате PIF (Program information file).

В зараженной системе файл-червь встречается в трех видах:

— собственно как PIF-файл;
— как BAT-файл для распространения самого себя в пределах локальной машины;
— как INI-скрипт для распростанения через IRC;

При этом перечисленные файлы полностью совпадают друг с другом, но имеют различные имена и расширения, выполняются системой различными способами (как PIF-файл, как BAT-программа, как INI-скрипт) и выполняют различные функции.

Червь также создает дополнительный VBS-скрипт для распространения через электронную почту.

При запуске файла-червя FABLE.PIF он делает две свои копии: C:TEST.BAT и %WinDir%BackUp570.pif. После этого он запускает C:TEST.BAT. Во время работы TEST.BAT создает множество (более 30) своих копий в разных каталогах
и под разными именами, например:

%WinDir%CommandMS_Dos_Prompt.pif
%WinDir%MS_Dos_Prompt.pif
%WinDir%Game.pif
%WinDir%MrBat.bat
%WinDir%Plans.bat
%WinDir%TasksDefault.bat

При этом некоторым файлам присваиваются аттрибуты Hidden и Read-Only.
Кроме того создаются INI-файлы для mIRC и VBS-скрипты:

%WinDir%Blah.vbs
%WinDir%Blah2.vbs
C:mIRCScript.ini
C:Program FilesScript.ini

INI-файл используется для распространения червя через IRC. VBS-скрипт создает файл WINSTART.BAT в каталоге, где установлена Windows, содержащий команды для запуска одной из своих копий при старте операционной системы.
После этого скрипт при помощью API Outlook создает и отсылает письма каждому адресату из адресной книги. Письма содержат тему, случайно выбранную из трех возможных:

Fable
Something You Should Read
Very Important That You Receive This

Тело письма состоит из одной фразы, выбираемой случайно из двух возможных:

A nice little fable
Wanted to make sure you received this

К каждому письму приклеивается файл FABLE.PIF.

После рассылки червь выводит тесктовое сообщение:

The Grasshopper and the Owl
An Owl, accustomed to feed at night and to sleep during the day,
was greatly disturbed by the noise of a Grasshopper and earnestly
besought her to stop chirping. The Grasshopper refused to
desist, and chirped louder and louder the more the Owl entreated.
When she saw that she could get no redress and that her words
were despised, the Owl attacked the chatterer by a stratagem.
«Since I cannot sleep,» she said, «on account of your song which,
believe me, is sweet as the lyre of Apollo, I shall indulge
myself in drinking some nectar which Pallas lately gave me. If
you do not dislike it, come to me and we will drink it together.»
The Grasshopper, who was thirsty, and pleased with the praise of
her voice, eagerly flew up. The Owl came forth from her hollow,
seized her, and put her to death.

Узнай статистику распространения угроз в твоем регионе

Класс	Email-Worm
Платформа	PIF
Описание	Technical Details Данный червь представляет собой PIF-файл и является первым известным Интернет-червем в формате PIF (Program information file). В зараженной системе файл-червь встречается в трех видах: — собственно как PIF-файл; — как BAT-файл для распространения самого себя в пределах локальной машины; — как INI-скрипт для распростанения через IRC; При этом перечисленные файлы полностью совпадают друг с другом, но имеют различные имена и расширения, выполняются системой различными способами (как PIF-файл, как BAT-программа, как INI-скрипт) и выполняют различные функции. Червь также создает дополнительный VBS-скрипт для распространения через электронную почту. При запуске файла-червя FABLE.PIF он делает две свои копии: C:TEST.BAT и %WinDir%BackUp570.pif. После этого он запускает C:TEST.BAT. Во время работы TEST.BAT создает множество (более 30) своих копий в разных каталогах и под разными именами, например: %WinDir%CommandMS_Dos_Prompt.pif %WinDir%MS_Dos_Prompt.pif %WinDir%Game.pif %WinDir%MrBat.bat %WinDir%Plans.bat %WinDir%TasksDefault.bat При этом некоторым файлам присваиваются аттрибуты Hidden и Read-Only. Кроме того создаются INI-файлы для mIRC и VBS-скрипты: %WinDir%Blah.vbs %WinDir%Blah2.vbs C:mIRCScript.ini C:Program FilesScript.ini INI-файл используется для распространения червя через IRC. VBS-скрипт создает файл WINSTART.BAT в каталоге, где установлена Windows, содержащий команды для запуска одной из своих копий при старте операционной системы. После этого скрипт при помощью API Outlook создает и отсылает письма каждому адресату из адресной книги. Письма содержат тему, случайно выбранную из трех возможных: Fable Something You Should Read Very Important That You Receive This Тело письма состоит из одной фразы, выбираемой случайно из двух возможных: A nice little fable Wanted to make sure you received this К каждому письму приклеивается файл FABLE.PIF. После рассылки червь выводит тесктовое сообщение: The Grasshopper and the Owl An Owl, accustomed to feed at night and to sleep during the day, was greatly disturbed by the noise of a Grasshopper and earnestly besought her to stop chirping. The Grasshopper refused to desist, and chirped louder and louder the more the Owl entreated. When she saw that she could get no redress and that her words were despised, the Owl attacked the chatterer by a stratagem. «Since I cannot sleep,» she said, «on account of your song which, believe me, is sweet as the lyre of Apollo, I shall indulge myself in drinking some nectar which Pallas lately gave me. If you do not dislike it, come to me and we will drink it together.» The Grasshopper, who was thirsty, and pleased with the praise of her voice, eagerly flew up. The Owl came forth from her hollow, seized her, and put her to death.
	Узнай статистику распространения угроз в твоем регионе

Email-Worm.PIF.Fable

Technical Details