Virový maják č. 26: W95.Babylonia - virus, červ a trojský kůň
Máme tu nový rezidentní virus W95.Babylonia s velkým množství schopností, který byl objeven 3. prosince tohoto roku. Podle informací firmy Symantec se zdá, že W95.Babylonia byl napsán stejným autorem, jako W32.Coke a W95.Fono. Původně byl zaslán do internetové diskusní skupiny 'alt.crackers' jako soubor serialz.hlp, který měl působit dojmem, že se jedná o seznam více než sedmnácti tisíc sériových čísel ke komerčním produktům ve formátu nápovědy pro Windows.
Babylonia používá ke svému šíření mIRC, e-mail, spustitelné soubory EXE a soubory nápovědy HLP. Tento virus využívá řadu technik, které se objevily ve virech pro operační systémy Windows 9x za několik posledních let: šíří se sítí podobně jako I-Worm.Happy, infikuje soubory nápovědy jako WinHLP.Demo, instaluje se do paměti podobným způsobem jako Win95.CIH atp.
V okamžiku, kdy otevřete infikovaný soubor .HLP, aktivuje se kód viru. Virus zmodifikuje vstupní bod na krátký skript tak, aby se spustil binární kód, který je umístěn na konci příslušného souboru. Poté, co je tento kód aktivován, se virus pokusí nainstalovat do paměti, vytvoří 4096 bajtů velký soubor c:\babylonia.exe a tento soubor spustí. Po spuštění se babylonia.exe zkopíruje do systémové složky jako kernel32.exe a úpravou registrů zajistí, aby byl tento program spouštěn při každém startu Windows. Tento modul funguje jako systémový ovladač, takže ho nemůžete pod Windows 9x vidět v seznamu spuštěných úloh.
Následně virus hlídá okamžik, kdy je spuštěn rnaapp.exe (tj. telefonické připojení sítě) a pokusí se připojit na stránku svého autora (či autorů), která je umístěna na japonském serveru. Pokud se mu to nepodaří, bude pokus o připojení opakovat každou minutu.
Ze zmíněné stránky si Babylonia stáhne soubor virus.txt, obsahující seznam souborů (podle posledních zpráv obsahuje tento soubor zatím čtyři položky: dropper.dat, greetz.dat, ircworm.dat a poll.dat). Tyto soubory jsou vlastně plug-iny, které si virus uloží na disk a následně jeden po druhém spustí.
První plug-in dropper.dat, v případě že virus není správně odstraněn, zajišťuje obnovu viru jeho stažením a opětovnou reinstalací.
Druhý plug-in greetz.dat zmodifikuje v lednu mezi 5:00 a 20:00 soubor autoexec.bat, takže při startu systému narazíte na hlášku:
W95/Babylonia by Vecna (c) 1999
Greetz to RoadKil and VirusBuster
Big thankz to sok4ever webmaster
Abracos pra galera brazuca!!!
---
Eu boto fogo na Babilonia!
Třetí plug-in ircworm.dat je červ pro mIRC odesílající prostřednictvím tohoto programu všem uživatelům, jež jsou v danou chvíli na stejném kanále, dva soubory - 2kBug-MircFix.EXE a 2kbugfix.ini - které mají vypadat jako opravný program pro problém Y2K, ovšem ve skutečnosti jsou infikovány Babylonií. Podle Kaspersky Lab ale šíření přes mIRC patrně nefunguje (ostatní zdroje však tuto možnost šíření uvádějí).
Poslední soubor poll.dat odesílá na adresu babylonia_counter@hotmail.com e-mailovou zprávu obsahující text Quando o mestre chegara? . Tím autor nejspíše sleduje kolik počítačů již bylo zavirováno.
W95.Babylonia dále napadá všechny soubory s příponou .EXE a .HLP při pokusu o přečtení nebo modifikaci atributů, při otevření a při přejmenování.
Kromě toho Babylonia upraví v souboru wsock32.dll rutinu Send, čímž získá kontrolu nad veškerou odcházející poštou. Ke každému odeslanému e-mailu je pak přiložen 17 KB velký spustitelný soubor X-MAS.EXE s ikonkou Santa Clause obsahující další kopii W95.Babylonia. Po spuštění tohoto souboru se zobrazí pouze chybové hlášky API not found a Windows NT Required. This program will be terminated a na první pohled se program ukončí. Ve skutečnosti již ale virus započal svou činnost...
Virus Babylonia funguje pouze pod Windows 9x, takže majitelé Windows NT zatím mohou klidně spát. Každopádně buďte opatrní - viry získaly, díky Internetu a operačním systémům Windows obrovský potenciál a kdykoliv mohou navštívit zrovna váš počítač.
|
