Fable / I-Worm.PIF.Fable

PIF-Dateien werden unter Windows hauptsächlich zum Verknüpfen von DOS-Programmen verwendet. Mit dem Internet-Wurm "Fable" [1] wurde nun der erste Vertreter einer Virengattung gefunden, die solche PIF-Dateien missbraucht, um sich zu verbreiten. Ein PIF-Wurm ist auf infizierten Systemen entweder als eigentliche PIF-Datei, als separates Batch-File (*.BAT) oder als INI-Datei für die Verbreitung via IRC zu finden. Der Fable-Wurm installiert auch ein VB-Script, um sich via Mail zu verbreiten. An die Einträge des Outlook Adressbuchs wird eine Mail verschickt, die ungefähr so aussieht:

Als Betreff wird einer von diesen dreien verwendet:

- "Fable"

- "Something You Should Read"

- "Very Important That You Receive This"

Im Mail-Text steht entweder "A nice little fable" oder "Wanted to make sure you received this". Der gefährliche Teil liegt - wie immer - in der Beilage, diesmal heisst sie FABLE.PIF.

Zum jetzigen Zeitpunkt (Anfang November 2000) sei gemäss deutscher Pressemitteilung [2] von Kaspersky Labs noch kein PIF-Wurm "in the wild" aufgetaucht. Dennoch ist mit PIF ein weiterer Dateityp betroffen, den es beim Mail-Empfang mit Skepsis zu behandeln gilt.

Speichern Sie jede Mail-Beilage noch vor dem Doppelklicken/Öffnen auf Ihre Festplatte. Scannen Sie die Datei nach Viren und schauen Sie sich über einen Klick mit der rechten Maustaste die "Eigenschaften" genau an. Dateien mit den Endungen PIF, SHS oder VBS enthalten höchstwahrscheinlich einen Script-Virus.