%WinDir%\Command\MS_Dos_Prompt.pif
%WinDir%\MS_Dos_Prompt.pif
%WinDir%\Game.pif
%WinDir%\Tasks\Default.bat
%WinDir%\MrBat.bat 
%WinDir%\Fable.pif 
%WinDir%\Plans.bat 
%WinDir%\Winstart.bat

Alguno de estos archivos, tienen los atributos de oculto (+H) y solo lectura (+R). En forma adicional se crea un archivo .INI para el cliente de IRC (mIRC), además de otros archivos en Visual Basic Script (VBS):

%WinDir%\Blah.vbs
%WinDir%\Blah2.vbs
C:\mIRC\Script.ini
C:\Program Files\Script.ini

El archivo SCRIPT.INI es usado para propagarse a través de los canales de IRC.

Además, el script de VBS, genera el archivo WINSTART.BAT en el directorio de Windows, el cuál incluye comandos para ejecutar el virus cuando el sistema operativo es reiniciado.

También se inserta con el nombre de MS_DOS_PROMPT.PIF en TODAS las carpetas presentes en la variable %PATH%.

Después el mismo script utiliza el programa de correo Outlook para propagarse. Lo hace enviándose a si mismo en un adjunto, llamado FABLE.PIF (como el que recibimos), a TODOS los contactos de la libreta de direcciones del usuario infectado. Utiliza las funciones MAPI de Windows para crear el mensaje:

Dicho mensaje puede tener una de estas líneas como ASUNTO:

• Fable
• Something You Should Read
• Very Important That You Receive This

El cuerpo del mensaje puede ser una de estas líneas:

• A nice little fable
• Wanted to make sure you received this

Archivo adjunto: FABLE.PIF

Luego que los mensajes son enviados, el gusano muestra el siguiente texto:

The Grasshopper and the Owl
An Owl, accustomed to feed at night and to sleep during the day,
was greatly disturbed by the noise of a Grasshopper and earnestly
besought her to stop chirping. The Grasshopper refused to
desist, and chirped louder and louder the more the Owl entreated.
When she saw that she could get no redress and that her words
were despised, the Owl attacked the chatterer by a stratagem.
"Since I cannot sleep," she said, "on account of your song which,
believe me, is sweet as the lyre of Apollo, I shall indulge
myself in drinking some nectar which Pallas lately gave me. If
you do not dislike it, come to me and we will drink it together."
The Grasshopper, who was thirsty, and pleased with the praise of
her voice, eagerly flew up. The Owl came forth from her hollow,
seized her, and put her to death.

Una vez enviados los mensajes, el registro es modificado para no volver a hacerlo.


Archivo INI, propagación a través del mIRC

El gusano busca en la PC infectada la presencia del mIRC. Se trata de un popular programa para chateo, el cuál será usado para propagar el virus a través de los canales de IRC. Si la búsqueda detecta la presencia de una carpeta mIRC, el worm se inserta a si mismo en el archivo Script.ini. Si el mIRC está presente en C:\Mirc (el camino de instalación por defecto), el archivo insertado es puesto con el atributo de solo lectura (+R).

El gusano además recoge las direcciones de correo desplegadas en los mensajes intercambiados en los canales de chat, y las guarda en un archivo llamado C:\Windows\EList.eml. También se enviará a sí mismo a estas direcciones, como lo hace con los contactos del Outlook.


Otras acciones

El gusano chequea la presencia del archivo WSCRIPT.EXE en C:\Windows (%WinDir%). Este archivo es el responsable de ejecutar los archivos VBScripts. Si WSCRIPT.EXE existe, es cuando el gusano inserta varios archivos VBS en el sistema, y los ejecuta.

Otra acción, es la eliminación del archivo REGEDIT.EXE, el editor de registro de Windows.


Modificaciones en el registro de Windows

Estas son las modificaciones producidas por el virus en el sistema:

"HKLM\Software\Microsoft\Windows\Currentversion\RunServices\changes" =
"C:\Windows\Wscript.Exe"

"HKLM\Software\Microsoft\Windows\Currentversion\Explorer\El\Mission" =
"PM"

"HKey_Classes_Root\.Fab\Content Type" =
"Text/Plain" 

"HKey_Classes_Root\.Fab\" =
"Fable"

"HKey_Classes_Root\.Fab\ShellNew\Filename" =
"Fable.Fab"

"HKey_Classes_Root\.Fab\ShellEx\{Bb2e617c-0920-11d1-9a0b-00c04fc2d6c1}\"=
"{Eab841a0-9550-11cf-8c16-00805f1408f3}"

"HKey_Classes_Root\Fable\" =
"Fable"

"HKey_Classes_Root\Fable\DefaultIcon\" =
"C:\Windows\System\Shell32.Dll,3"

"HKey_Classes_Root\Fable\Shell\Open\Command\" =
"C:\Windows\Notepad.Exe "%1" "

"HKey_Classes_Root\Fable\Shell\Print\Command\" =
"C:\Windows\Notepad.Exe /p "%1" "

"HKey_Classes_Root\Fable\Shell\Infect\Command\" =
"C:\Windows\Wscript.Exe "C:\Windows\finfo.vbs" "

"HKey_Classes_Root\Fable\DefaultIcon\" =
"C:\Windows\System\Shell32.Dll,3"

"HKey_Classes_Root\Fable\Shell\Open\Command\" =
"C:\Windows\Notepad.Exe "%1" "

"HKey_Classes_Root\Fable\Shell\Print\Command\" =
"C:\Windows\Notepad.Exe /p "%1" "

"HKey_Classes_Root\Fable\Shell\Infect\Command\" =
"C:\Windows\Wscript.Exe "C:\Windows\finfo.vbs" "

Para eliminar el virus, se deben borrar todas estas entradas agregadas por el mismo, además de revisar el sistema con un antivirus al día.

Asegúrese que Windows tenga habilitada la opción para ver archivos ocultos o del sistema, para poder borrar en forma manual los archivos creados por el virus. Estos archivos pueden tener los atributos de OCULTOS. Para ello asegúrese primero de que en Inicio, Configuración, Opciones de carpetas de Windows 98 (o cualquier menú Ver, Opciones del Explorador de Windows en Windows 95), estén marcadas las opciones "Ver todos los archivos", y desmarcadas las opciones "Ocultar los archivos de estos tipos" y "Ocultar extensiones de archivos conocidos" o similar.

Recuerde además que el virus elimina el archivo REGEDIT.EXE, necesario para modificar manualmente el registro, por lo que el mismo deberá ser recuperado desde un respaldo, desde otra PC con el mismo sistema operativo, o usando el SFC (Comprobador de Archivos del Sistema) en el caso de Windows 98.

El virus podría ser detectado como "VBS.NewLove.A" por algunas versiones de antivirus no actualizadas.

Fuentes: Trend Micro, Symantec, AVP


Ver también:
25/ene/01 - Pif_Lys. Un acceso directo destructivo