|
Miércoles 8 de noviembre de 2000
Nombre: FABLE
Tipo: Gusano de Visual Basic Script (VBS)
Alias: I-Worm.PIF.Fable, FABLE, BAT.Fable.Worm, PIF.Fable.Worm
Es el primer gusano de Internet implementado como un archivo PIF (Windows Program Information). El cuerpo del gusano es un archivo PIF estándar, pero contiene en su interior rutinas especiales.
Los archivos PIF eran considerados hasta hace poco inofensivos. Se trata de archivos utilizados en principio, solo para almacenar información relacionada con la ejecución de los programas DOS, y uno supondría que no contienen más que datos como el nombre del ejecutable, su tamaño, ubicación en el disco, configuración de la pantalla, uso de la memoria y poco más.
Sin embargo, estos archivos también pueden incluir código en formatos EXE, COM o BAT en su interior, el cuál puede ser ejecutado por el propio PIF.
Además, virus como el MTX, utilizan esta extensión. En el caso del MTX, los archivos .PIF en realidad son .EXE renombrados como PIF, pero para el sistema operativo esto no hace diferencia, y son ejecutados directamente, sin advertencia para el usuario.
El FABLE, va un paso más allá. En un sistema infectado, este gusano puede estar presente en tres diferentes formas:
1) Como un archivo PIF
2) Como un archivo BAT, un archivo de lotes de DOS usado para propagarse en la PC local.
3) Como un archivo INI, que es un script para distribuirse a través de los canales de IRC.
Se trata del mismo archivo, pero con tres diferentes nombres, siendo procesado por el sistema de diferentes maneras de acuerdo a su extensión, y con una funcionalidad diferente en cada caso.
El gusano también libera un script en lenguaje VBS para propagarse via e-mail.
Cuando se ejecuta por primera vez (doble clic sobre el archivo FABLE.PIF recibido en un mensaje), el gusano hace dos copias de si mismo, usando los nombres: C:\TEST.BAT y %WinDir%\BackUp570.pif (%WinDir% es el camino -PATH- donde está Windows, generalmente C:\WINDOWS). También puede ser dejado en la carpeta C:\Windows\History.
Luego ejecuta el archivo C:\TEST.BAT, un archivo de proceso por lotes del DOS. Este BAT es el que crea copias adicionales del virus en diferentes directorios y con distintos nombres.
Pueden llegar a existir hasta 30 nombres, por ejemplo:
%WinDir%\Command\MS_Dos_Prompt.pif
%WinDir%\MS_Dos_Prompt.pif
%WinDir%\Game.pif
%WinDir%\Tasks\Default.bat
%WinDir%\MrBat.bat
%WinDir%\Fable.pif
%WinDir%\Plans.bat
%WinDir%\Winstart.bat
Alguno de estos archivos, tienen los atributos de oculto (+H) y solo lectura (+R). En forma adicional se crea un archivo .INI para el cliente de IRC (mIRC), además de otros archivos en Visual Basic Script (VBS):
%WinDir%\Blah.vbs
%WinDir%\Blah2.vbs
C:\mIRC\Script.ini
C:\Program Files\Script.ini
El archivo SCRIPT.INI es usado para propagarse a través de los canales de IRC.
Además, el script de VBS, genera el archivo WINSTART.BAT en el directorio de Windows, el cuál incluye comandos para ejecutar el virus cuando el sistema operativo es reiniciado.
También se inserta con el nombre de MS_DOS_PROMPT.PIF en TODAS las carpetas presentes en la variable %PATH%.
Después el mismo script utiliza el programa de correo Outlook para propagarse. Lo hace enviándose a si mismo en un adjunto, llamado FABLE.PIF (como el que recibimos), a TODOS los contactos de la libreta de direcciones del usuario infectado. Utiliza las funciones MAPI de Windows para crear el mensaje:
Dicho mensaje puede tener una de estas líneas como ASUNTO:
- Fable
- Something You Should Read
- Very Important That You Receive This
El cuerpo del mensaje puede ser una de estas líneas:
- A nice little fable
- Wanted to make sure you received this
Archivo adjunto: FABLE.PIF
Luego que los mensajes son enviados, el gusano muestra el siguiente texto:
The Grasshopper and the Owl
An Owl, accustomed to feed at night and to sleep during the day,
was greatly disturbed by the noise of a Grasshopper and earnestly
besought her to stop chirping. The Grasshopper refused to
desist, and chirped louder and louder the more the Owl entreated.
When she saw that she could get no redress and that her words
were despised, the Owl attacked the chatterer by a stratagem.
"Since I cannot sleep," she said, "on account of your song which,
believe me, is sweet as the lyre of Apollo, I shall indulge
myself in drinking some nectar which Pallas lately gave me. If
you do not dislike it, come to me and we will drink it together."
The Grasshopper, who was thirsty, and pleased with the praise of
her voice, eagerly flew up. The Owl came forth from her hollow,
seized her, and put her to death.
Una vez enviados los mensajes, el registro es modificado para no volver a hacerlo.
Archivo INI, propagación a través del mIRC
El gusano busca en la PC infectada la presencia del mIRC. Se trata de un popular programa para chateo, el cuál será usado para propagar el virus a través de los canales de IRC. Si la búsqueda detecta la presencia de una carpeta mIRC, el worm se inserta a si mismo en el archivo Script.ini. Si el mIRC está presente en C:\Mirc (el camino de instalación por defecto), el archivo insertado es puesto con el atributo de solo lectura (+R).
El gusano además recoge las direcciones de correo desplegadas en los mensajes intercambiados en los canales de chat, y las guarda en un archivo llamado C:\Windows\EList.eml. También se enviará a sí mismo a estas direcciones, como lo hace con los contactos del Outlook.
Otras acciones
El gusano chequea la presencia del archivo WSCRIPT.EXE en C:\Windows (%WinDir%). Este archivo es el responsable de ejecutar los archivos VBScripts. Si WSCRIPT.EXE existe, es cuando el gusano inserta varios archivos VBS en el sistema, y los ejecuta.
Otra acción, es la eliminación del archivo REGEDIT.EXE, el editor de registro de Windows.
Modificaciones en el registro de Windows
Estas son las modificaciones producidas por el virus en el sistema:
"HKLM\Software\Microsoft\Windows\Currentversion\RunServices\changes" =
"C:\Windows\Wscript.Exe"
"HKLM\Software\Microsoft\Windows\Currentversion\Explorer\El\Mission" =
"PM"
"HKey_Classes_Root\.Fab\Content Type" =
"Text/Plain"
"HKey_Classes_Root\.Fab\" =
"Fable"
"HKey_Classes_Root\.Fab\ShellNew\Filename" =
"Fable.Fab"
"HKey_Classes_Root\.Fab\ShellEx\{Bb2e617c-0920-11d1-9a0b-00c04fc2d6c1}\"=
"{Eab841a0-9550-11cf-8c16-00805f1408f3}"
"HKey_Classes_Root\Fable\" =
"Fable"
"HKey_Classes_Root\Fable\DefaultIcon\" =
"C:\Windows\System\Shell32.Dll,3"
"HKey_Classes_Root\Fable\Shell\Open\Command\" =
"C:\Windows\Notepad.Exe "%1" "
"HKey_Classes_Root\Fable\Shell\Print\Command\" =
"C:\Windows\Notepad.Exe /p "%1" "
"HKey_Classes_Root\Fable\Shell\Infect\Command\" =
"C:\Windows\Wscript.Exe "C:\Windows\finfo.vbs" "
"HKey_Classes_Root\Fable\DefaultIcon\" =
"C:\Windows\System\Shell32.Dll,3"
"HKey_Classes_Root\Fable\Shell\Open\Command\" =
"C:\Windows\Notepad.Exe "%1" "
"HKey_Classes_Root\Fable\Shell\Print\Command\" =
"C:\Windows\Notepad.Exe /p "%1" "
"HKey_Classes_Root\Fable\Shell\Infect\Command\" =
"C:\Windows\Wscript.Exe "C:\Windows\finfo.vbs" "
Para eliminar el virus, se deben borrar todas estas entradas agregadas por el mismo, además de revisar el sistema con un antivirus al día.
Asegúrese que Windows tenga habilitada la opción para ver archivos ocultos o del sistema, para poder borrar en forma manual los archivos creados por el virus. Estos archivos pueden tener los atributos de OCULTOS. Para ello asegúrese primero de que en Inicio, Configuración, Opciones de carpetas de Windows 98 (o cualquier menú Ver, Opciones del Explorador de Windows en Windows 95), estén marcadas las opciones "Ver todos los archivos", y desmarcadas las opciones "Ocultar los archivos de estos tipos" y "Ocultar extensiones de archivos conocidos" o similar.
Recuerde además que el virus elimina el archivo REGEDIT.EXE, necesario para modificar manualmente el registro, por lo que el mismo deberá ser recuperado desde un respaldo, desde otra PC con el mismo sistema operativo, o usando el SFC (Comprobador de Archivos del Sistema) en el caso de Windows 98.
El virus podría ser detectado como "VBS.NewLove.A" por algunas versiones de antivirus no actualizadas.
Fuentes: Trend Micro, Symantec, AVP
Ver también:
25/ene/01 - Pif_Lys. Un acceso directo destructivo
|
|