|
|
||
SERVICIO ASISTENCIA TECNICA INFORMATICA |
|||
www.satinfo.es | Anterior |
NUEVO VIRUS W95/BABYLONIA
Nombre de virus: W95/Babylonia
Alias conocidos: serialz
Riesgo: Alto ( Bajo, Alto, Muy Alto)
Activación: Crea fichero Babylonia.exe con puerta trasera
Propagación: Por autoenvio de worm vía IRC y e-mail
Detección: VIRUSCAN Desde 4056 o EXTRA.DAT
Motor necesario: Engine 4035 o superior
Infección actual: Inicial (Inicial, Media, Elevada)
Se trata de un virus polimórfico de 32 bits, que inicialmente se distribuyó a través de un help de nombre "serialz.hlp", y que se autopropaga por Internet vía IRC y/o anexa fichero vírico a e-mails, creando fichero troyano que abre puerta trasera a los hackers. Queda residente en memoria e infecta ficheros del tipo PE y HLP de Windows, y crea un Kernel32.dll que monitoriza el acceso a Internet, en cuyo caso intenta acceder a la web de los hackers y acaba de descargar ficheros complementarios o actualizaciones del virus.
Si el virus detecta comunicación IRC, envía una copia de sí mismo a dichos canales, enviando el fichero "2kBug-Mircfix.EXE", y finalmente envía a babylonia_counter@hotmail.com información de la infección.
Por otro lado modifica el Wsock32.dll de forma que en cada e-mail que se envía, se anexe un fichero ejecutable con el virus, añadiendolo igualmente si el e-mail ya incluía un fichero anexado. El fichero que añade se llama
X-MAS.EXE con un icono de una cara de Papa Noel.
También crea en directorio principal el fichero Babylonia.exe, que al ejecutarse abre una puerta trasera, permitiendo la entrada de agentes víricos. Para ello se autocopia dentro del directorio de sistema de Windows como Kernel32.exe y modifica el registro de sistema para cargarlo y quedar residente cada vez que arranca Windows.
La infección de ficheros se realiza a EXE's del tipo PE y a HLP's en W95 y W98, pues en NT no puede infectar dichos ficheros por usar ring-0.
En 15 de Enero modifica el autoexec.bat con mensajes en portugués.
En el disquete de la actualización de Diciembre 4055 ya incluiremos el EXTRA.DAT para control específico de dicho virus con dicha versión, que estará controlado normalmente por DATS 4056 o SDAT4056
SATINFO, VIRUSCAN SPAIN SERVICE