Jedyne destrukcyjne działanie robaka polega na usunięciu edytora rejestru.<p>

Po uruchomieniu pliku robaka przez użytkownika, tworzy on swoje kopie w plikach

<b>c:\test.bat</b> oraz <b>c:\windows\backup570.pif</b>, a następnie uruchamia plik <b>test.bat.</b>

<p>

Uruchomienie test.bat rozpoczyna działania wirusowe. Polegają one na modyfikacji rejestru, tak by uruchamiany był plik typu VBS wstawiany w następnym etapie działania wirusa. Następnie Fable tworzy kolejne pliki:

Zobacz również:

• Google zmienia algorytmy - więcej reklam w Gmailu

<b>c:\windows\mrbat.bat,

c:\windows\winstart.bat,

c:\windows\fable.bat,

c:\windows\plans.bat. </b>

<p>

Po stworzeniu tych plików wirus usuwa plik Edytora rejestru - regedit.exe - dla uniemożliwienia stwierdzenia modyfikacji rejestru. Ponadto zmienia również atrybuty nowo umieszczonych przez siebie plików na ukryte.

<p>

W kolejnym etapie swojego działania Fable poszukuje instalacji popularnego klienta IRC - programu mIRC - w domyślnej lokalizacji c:\mirc i następnie wstawia swoją kopię do script.ini, czego efektem jest automatyczne rozsyłanie wirusa do wszystkich uczestników kanału. Ponadto Fable wstawia swoją kopię w postaci pliku MS_Dos_Prompt.pif do wszystkich katalogów wymienionych w zmiennej systemowej PATH, a także w kilku innych miejscach systemu Windows.

<p>

Następnie wirus rozsyła się w postaci załącznika do poczty elektronicznej do wszystkich adresatów znajdujących się w książce adresowej systemu Windows. Do tego działania wykorzystywany jest jeden z elementów robaka napisany w języku VBS.

<p>

Na koniec Fable wyświetla plik tekstowy zatytułowany: <b>The Grasshopper and the Owl</b>.