686596

Babylonia

Bezeichnung

W95/Babylonia

Typ

Windows-32-Bit-Dateivirus mit Wurmeigenschaften

Erstes Auftreten

Anfang Dezember 1999

Verbreitung

verbreitet

Infektionsweg

Der Virus benutzt die von ihm veränderte Datei WSOCK32.DLL um Mails mit der infizierten Datei X-MAS.EXE als Anhang zu verschicken. Zusätzlich erzeugt der Virus beim Start des Mailanhangs die 4 KB große infizierte Datei C:\BABYLONIA.EXE und führt sie aus. BABYLONIA.EXE kopiert sich nachC:\WINDOWS\SYSTEM\KERNEL32.EXE und modifiziert die Registrierdatenbank, so dassKERNEL32.EXE bei jedem Windows-Start aufgerufen wird. mIRC-Anwender können sich anstecken, da der Wurm versucht, sich bei Chat-Sitzungen auf nicht infizierte Chatter zu übertragen, indem er ihnen die Datei 2KBug-MircFix.exe schickt. Besonderheiten Speicherresidenter Virus, der 32-Bit-Programmdateien (EXE-, aber auch beispielsweise HLP-Dateien) infiziert. Weil er VxD-Aufrufe nutzt, ist er nur unter Windows 9x lauffähig, nicht unter Windows NT. Er wurde in einer Internet-Newsgroup als angebliche Windows-Hilfe-Datei serialz.hlp veröffentlicht. Babylonia weist zahlreiche Funktionen auf und kann weitere Virenkomponenten als Plug-ins laden. Babylonia verändert die Datei WSOCK32.DLL ähnlich wie W32/Ska-Happy99. Der Virus kann auf diese Weise die etwa 17 kB lange infizierten Datei X-MAS.EXE an ausgehende Mails hängen, auch wenn diese bereits einen Anhang tragen. Der verseuchte Anhang wird beim Empfänger als Icon sichtbar, das das Gesicht des Weihnachtsmannes darstellen soll. Beim Start des Mail-Anhangs (zum Beispiel durch einen Doppelklick) erscheinen nacheinander die zwei Dialogfenster: "API not found!" und (auf Rechnern mit Windows 9x) "Windows NT required. This program will be terminated". Die zusätzlich im System installierte Virendatei KERNEL32.EXE versucht immer wenn der Rechner online ist von der Homepage einer Gruppe von Virenautoren Plug-ins für den Virus zu laden und sie auszuführen. Der Virus kann damit im Lauf der Zeit neue Funktionen "erlernen". Bisher (Dezember 1999) ist ein mIRC-Modul bekannt, das versucht, sich über das Internet-Relay-Chat-Programm als Datei 2KBug-MircFix.exe zu verschicken. Der Virus verschickt eine Mail an die Adresse babylonia_counter@hotmail.comt. Auf diese Weise kann der Virus-Autor Infektionen registrieren. Babylonia versucht auf dem Rechner gezielt die Virenwächter-Programme AVP9* und SPID* zu deaktivieren, so daß sie nicht mehr nach infizierten Dateien suchen. Wenn der PC mit Babylonia infiziert ist, startet er mit der Grußbotschaft 95/Babylonia by Vecna (c) 1999 Greetz to RoadKil and VirusBuster Big thankz to sok4ever webmaster Abracos pra galera brazuca!!! --- Eu boto fogo na Babilonia! Was Sie tun können mIRC-Optionen so einstellen, daß ausführbare Dateien nicht automatisch akzeptiert werden. Siehe auch Weitere Infos url link http://www.sophos.com/virusinfo/analyses/w95babylonia.html Sophos _blank

0 Kommentare zu diesem Artikel
686596