Меню контента Закрыть

Архив

I-Worm.PIF.Fable — новый интернет-червь

Архив

мин. на чтение

Авторы

Лаборатория Касперского сообщает об обнаружении первого известного интернет-червя в формате PIF (Program information file) — I-Worm.PIF.Fable.

В зараженной системе файл-червь встречается в трех видах:

— собственно как PIF-файл;
— как BAT-файл для распространения самого себя в пределах локальной машины;
— как INI-скрипт для распростанения через IRC;

При этом перечисленные файлы полностью совпадают друг с другом, но имеют различные имена и расширения, выполняются системой различными способами (как PIF-файл, как BAT-программа, как INI-скрипт) и выполняют различные функции.

Червь также создает дополнительный VBS-скрипт для распространения через электронную почту.

Тело письма состоит из одной фразы, выбираемой случайно из двух возможных:

A nice little fable
Wanted to make sure you received this

К каждому письму приклеивается файл FABLE.PIF.

После рассылки червь выводит тесктовое сообщение:

The Grasshopper and the Owl
An Owl, accustomed to feed at night and to sleep during the day,
was greatly disturbed by the noise of a Grasshopper and earnestly
besought her to stop chirping. The Grasshopper refused to
desist, and chirped louder and louder the more the Owl entreated.
When she saw that she could get no redress and that her words
were despised, the Owl attacked the chatterer by a stratagem.
«Since I cannot sleep,» she said, «on account of your song which,
believe me, is sweet as the lyre of Apollo, I shall indulge
myself in drinking some nectar which Pallas lately gave me. If
you do not dislike it, come to me and we will drink it together.»
The Grasshopper, who was thirsty, and pleased with the praise of
her voice, eagerly flew up. The Owl came forth from her hollow,
seized her, and put her to death.

Подробнее о черве Fable см. здесь.

Авторы

I-Worm.PIF.Fable — новый интернет-червь

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

От тех же авторов

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике

В той же категории

    • Последние публикации
    Отчеты

    StripedFly: двуликий и незаметный

    Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

    Азиатские APT-группировки: тактики, техники и процедуры

    Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

    Как поймать «Триангуляцию»

    Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике

    Угрозы

    Угрозы

    Категории

    Категории

    Другие разделы

    © АО «Лаборатория Касперского», 2024.

    Подпишитесь на еженедельную рассылку

    Самая актуальная аналитика – в вашем почтовом ящике