Name
des Virus |
W95.Babylonia |
Typ |
Internet Wurm |
befallene Betriebssysteme |
Windows 9x, 2000, XP |
Infizierung:
Dieser Virus gelangt über das Öffnen eines Email-Anhangs oder MIRC
ins System. Die bisher bekannten Dateien, die zu einer Infizierung führen,
sind
- I-WATCH-U.EXE
- BABILONIA.EXE
- X-MAS.EXE
- SURPRISE!.EXE
- JESUS.EXE
- BUHH.EXE
- CHOCOLATE.EXE
Bitte beachtete, daß alle infizierten .EXE oder .HLP Dateien eine
Infizierung des PCs auslöst.
Schadensroutine:
Diese Art von Computerviren befällt .EXE und .HLP von Windows 95, sobald
diese geöffnet werden. Es richtet bis jetzt noch keinen Schaden an, aber das
kann sich sehr schnell ändern. Wird die Email-Anlage geöffnet, so kopiert sich der Virus in
den Kernel-Speicher und eröffnet eine neue Datei "C:\BABYLONIA.EXE",
die etwa 4 KB groß ist. Danach kopiert sich BABYLONIA.EXE in die
"KERNEL32.EXE" im Systemverzeichnis von Windows und registriert
diese Kopie im Registrierungseditor unter dem Schlüssel
Software\Microsoft\Windows\CurrentVersion\Run,
was zur Ausführung dieser Kopie bei jedem Programmstart führt. Diese
Ausführung geschieht für den jeweiligen Beutzer unsichtbar, d.h. sie läuft
im Hintergrund als Systemprogramm ab.
Es sucht bei jedem Start nach der Anwendung "RNAAPP.EXE", die bei
Windows 9x im online-Modus aktiv ist. Wird diese Anwendung gefunden, so stellt
der Virus eine Verbindung zu einer japanischen Internetseite her und lädt von
dort eine Textdatei "VIRUS.TXT" herunter. In dieser werden vier
Dateinamen aufgelistet, "DROPPER.DAT", "GREETZ.DAT",
"IRCWORM.DAT" und "POLL.DAT", die ebenfalls
heruntergeladen werden. Die Dateien nutzen ein spezielles Format mit einem mit
"VMOD" beginnenden Header. VMOD bedeutet "Virus Modul".
Die "DROPPER.DAT" bringt dem Virus neue Funktionalität. Wenn
das System vom Virus befreit ist, aber das trojanische Pferd noch aktiv ist,
so wird der Virus über die "DROPPER.DAT" neu 'installiert' über
eine Anwendung "INSTALAR.EXE". Die "INSTALAR.EXE" ist mit
dem Virus infiziert und wird nach der Ausführung gelöscht.
Die "GREETZ.DAT" modifiziert die "AUTOEXEC.BAT im Januar
2000 mit einem Eintrag "W95/Babylonia by Vecna (c) 1999". Über
diesen Eintrag köönen Sie dann auch feststellen, ob Ihr PC mit dem
Babylonia-Virus infiziert ist.
Die "IRCWORM.DAT" ist ein MIRC-Wurm Installationsprogramm.
Der Wurm sendet die zwei Dateien "2KBug-MircFix.EXE" und
"2Kbugfix.INI" zu jedem im aktiven MIRC-Kanal.
Die "POLL.DAT" sendet eine Email an den Virenautor, damit
dieser die Anzahl der befallenen Systeme feststellen kann. Diese Email wird an
die Adresse babylonia_counter@hotmail.com mit der Nachricht "Quando o
mestre chegara?" gesendet .
Schutz & Entfernung:
Benutzer des Norton AntiVirus Toolkits können ein Update zum Schutz vor
diesem Virus herunterladen unter http://www.symantec.com/avcenter/download.html.
Copyright liegt bei All-About-PC. Alle Rechte vorbehalten.
Alle Information auf dieser Website durch All-About-PC urheberrechtlich geschützt.
Reproduktion und Vertrieb in jeglicher Form ohne Zustimmung der Redaktion sind
verboten.
Wiewohl alle Informationen auf dieser Website streng recherchiert und weitestgehend durch
Sekundärquellen gegengeprüft und bestätigt werden, kann für den Inhalt und daraus
etwaig entstehenden Schaden keine Verantwortung übernommen werden. |
|
