W95.Babylonia - virus, červ a trojský kůň

Máme tu nový rezidentní virus W95.Babylonia s velkým množství schopností, který byl objeven 3. prosince tohoto roku.
Máme tu nový rezidentní virus W95.Babylonia s velkým množství schopností, který byl objeven 3. prosince tohoto roku. Podle informací firmy Symantec se zdá, že W95.Babylonia byl napsán stejným autorem, jako W32.Coke a W95.Fono. Původně byl zaslán do internetové diskusní skupiny 'alt.crackers' jako soubor serialz.hlp, který měl působit dojmem, že se jedná o seznam více než sedmnácti tisíc sériových čísel ke komerčním produktům ve formátu nápovědy pro Windows.

Babylonia používá ke svému šíření mIRC, e-mail, spustitelné soubory EXE a soubory nápovědy HLP. Tento virus využívá řadu technik, které se objevily ve virech pro operační systémy Windows 9x za několik posledních let: šíří se sítí podobně jako I-Worm.Happy, infikuje soubory nápovědy jako WinHLP.Demo, instaluje se do paměti podobným způsobem jako Win95.CIH atp.

V okamžiku, kdy otevřete infikovaný soubor .HLP, aktivuje se kód viru. Virus zmodifikuje vstupní bod na krátký skript tak, aby se spustil binární kód, který je umístěn na konci příslušného souboru. Poté, co je tento kód aktivován, se virus pokusí nainstalovat do paměti, vytvoří 4096 bajtů velký soubor c:\babylonia.exe a tento soubor spustí. Po spuštění se babylonia.exe zkopíruje do systémové složky jako kernel32.exe a úpravou registrů zajistí, aby byl tento program spouštěn při každém startu Windows. Tento modul funguje jako systémový ovladač, takže ho nemůžete pod Windows 9x vidět v seznamu spuštěných úloh.

Následně virus hlídá okamžik, kdy je spuštěn rnaapp.exe (tj. telefonické připojení sítě) a pokusí se připojit na stránku svého autora (či autorů), která je umístěna na japonském serveru. Pokud se mu to nepodaří, bude pokus o připojení opakovat každou minutu.

Ze zmíněné stránky si Babylonia stáhne soubor virus.txt, obsahující seznam souborů (podle posledních zpráv obsahuje tento soubor zatím čtyři položky: dropper.dat, greetz.dat, ircworm.dat a poll.dat). Tyto soubory jsou vlastně plug-iny, které si virus uloží na disk a následně jeden po druhém spustí.

První plug-in dropper.dat, v případě že virus není správně odstraněn, zajišťuje obnovu viru jeho stažením a opětovnou reinstalací.

Druhý plug-in greetz.dat zmodifikuje v lednu mezi 5:00 a 20:00 soubor autoexec.bat, takže při startu systému narazíte na hlášku:

W95/Babylonia by Vecna (c) 1999

Greetz to RoadKil and VirusBuster

Big thankz to sok4ever webmaster

Abracos pra galera brazuca!!!

---

Eu boto fogo na Babilonia!

Třetí plug-in ircworm.dat je červ pro mIRC odesílající prostřednictvím tohoto programu všem uživatelům, jež jsou v danou chvíli na stejném kanále, dva soubory - 2kBug-MircFix.EXE a 2kbugfix.ini - které mají vypadat jako opravný program pro problém Y2K, ovšem ve skutečnosti jsou infikovány Babylonií. Podle Kaspersky Lab ale šíření přes mIRC patrně nefunguje (ostatní zdroje však tuto možnost šíření uvádějí).

Poslední soubor poll.dat odesílá na adresu babylonia_counter@hotmail.com e-mailovou zprávu obsahující text Quando o mestre chegara? . Tím autor nejspíše sleduje kolik počítačů již bylo zavirováno.

W95.Babylonia dále napadá všechny soubory s příponou .EXE a .HLP při pokusu o přečtení nebo modifikaci atributů, při otevření a při přejmenování.

Kromě toho Babylonia upraví v souboru wsock32.dll rutinu Send, čímž získá kontrolu nad veškerou odcházející poštou. Ke každému odeslanému e-mailu je pak přiložen 17 KB velký spustitelný soubor X-MAS.EXE s ikonkou Santa Clause obsahující další kopii W95.Babylonia. Po spuštění tohoto souboru se zobrazí pouze chybové hlášky API not found a Windows NT Required. This program will be terminated a na první pohled se program ukončí. Ve skutečnosti již ale virus započal svou činnost...

Virus Babylonia funguje pouze pod Windows 9x, takže majitelé Windows NT zatím mohou klidně spát. Každopádně buďte opatrní – viry získaly, díky Internetu a operačním systémům Windows obrovský potenciál a kdykoliv mohou navštívit zrovna váš počítač.

Váš názor Další článek: Doupě se mění

Témata článku: Windows, Stejný autor, První plug-in, Spustitelný soubor, Plug In, Trojský kůň, Webmaster, Červ, Soubor, Virus, Poslední pokus, Plug, Stejná úloha, Kůň, Šíření, Velký soubor, Send, Santa Claus



Rusko obviňuje astronautku NASA ze sabotáže Mezinárodní vesmírné stanice
Jiří Černý
Mezinárodní vesmírná staniceNASARusko
Nová volitelná aktualizace systému Windows 10 opravuje 38 problémů
Karel Kilián
Windows UpdateAktualizaceWindows 10
Hry zadarmo, nebo se slevou: balíček Batmanových her a Dead by Daylight zdarma

Hry zadarmo, nebo se slevou: balíček Batmanových her a Dead by Daylight zdarma

Na všech herních platformách je každou chvíli nějaká slevová akce. Každý týden proto vybíráme ty nejatraktivnější, které by vám neměly uniknout. Pokud chcete získat hry zdarma nebo s výhodnou slevou, podívejte se na aktuální přehled akcí!

Martin Nahodil
Hry zdarmaSlevové akce
Černobyl po 35 letech: Stále vypadá děsivě, elektřina se tu ale vyrábí dál

Černobyl po 35 letech: Stále vypadá děsivě, elektřina se tu ale vyrábí dál

** Uběhlo 35 let od tragické nehody v černobylské elektrárně ** Celá oblast je událostí stále silně poznamenaná ** Z Černobylu ale znovu teče elektřina – tentokrát solární

David Polesný
Elektrárna
Nejvíc sexy holky ve filmech: 60 nejslavnějších erotických symbolů

Nejvíc sexy holky ve filmech: 60 nejslavnějších erotických symbolů

Krásné ženy jsou pro mnohé erotické a sex symboly. Vybrali jsme ty nejslavnější z několika desetiletí filmové a seriálové tvorby. Najdete zde nejen fotografie, ale také název díla, které herečku proslavilo.

Marek Čech
Filmy a seriály
Programujeme ZX Spectrum: Ten nejhloupější možný program v Basicu
Jakub Čížek
Pojďme programovat elektronikuHistorieProgramování
Vybrali jsme 17 nejlepších bezdrátových reproduktorů. Pod stromeček, nejen na koledy

Vybrali jsme 17 nejlepších bezdrátových reproduktorů. Pod stromeček, nejen na koledy

Vybrali jsme ty nejzajímavější bezdrátové reproduktory. Od malých do kapsy až po větší do domácnosti, které nabízejí výborný poměr cena/výkon.

Jaromír Puk
Bluetooth reproduktor