Fable - robak rozsyłający się pocztą i poprzez IRC
- Krzysztof Arkuszewski,
- 11.02.2001
Fable jest robakiem internetowym, rozsyłającym się automatycznie pocztą elektroniczną, a także w postaci skryptów na kanałach IRC, używając popularnego klienta mIRC.
Jedyne destrukcyjne działanie robaka polega na usunięciu edytora rejestru.<p>
Po uruchomieniu pliku robaka przez użytkownika, tworzy on swoje kopie w plikach
<b>c:\test.bat</b> oraz <b>c:\windows\backup570.pif</b>, a następnie uruchamia plik <b>test.bat.</b>
<p>
Uruchomienie test.bat rozpoczyna działania wirusowe. Polegają one na modyfikacji rejestru, tak by uruchamiany był plik typu VBS wstawiany w następnym etapie działania wirusa. Następnie Fable tworzy kolejne pliki:
Zobacz również:
<b>c:\windows\mrbat.bat,
c:\windows\winstart.bat,
c:\windows\fable.bat,
c:\windows\plans.bat. </b>
<p>
Po stworzeniu tych plików wirus usuwa plik Edytora rejestru - regedit.exe - dla uniemożliwienia stwierdzenia modyfikacji rejestru. Ponadto zmienia również atrybuty nowo umieszczonych przez siebie plików na ukryte.
<p>
W kolejnym etapie swojego działania Fable poszukuje instalacji popularnego klienta IRC - programu mIRC - w domyślnej lokalizacji c:\mirc i następnie wstawia swoją kopię do script.ini, czego efektem jest automatyczne rozsyłanie wirusa do wszystkich uczestników kanału. Ponadto Fable wstawia swoją kopię w postaci pliku MS_Dos_Prompt.pif do wszystkich katalogów wymienionych w zmiennej systemowej PATH, a także w kilku innych miejscach systemu Windows.
<p>
Następnie wirus rozsyła się w postaci załącznika do poczty elektronicznej do wszystkich adresatów znajdujących się w książce adresowej systemu Windows. Do tego działania wykorzystywany jest jeden z elementów robaka napisany w języku VBS.
<p>
Na koniec Fable wyświetla plik tekstowy zatytułowany: <b>The Grasshopper and the Owl</b>.