GUSANO
W95/Babylonia
Alias: Babylonia.exe, W95.Babylonia, W95/Babylonia,
W95/Babylonia, W95/Babylonia.hlp, W95/Babylonia.irc, W95/Babylonia.plugin
Variantes: W95/Babylonia.bat,W95/Babylonia.hlp, W95/Babylonia.irc,
W95/Babylonia.plugin
Este virus se distribuyó por primera vez en el grupo de noticias
“Alt.Crackers” en forma de un archivo de ayuda llamado SERIALZ.HLP
el 3 de diciembre de 1999. El lugar de origen del virus está en Brasil.
El archivo original tiene un tamaño de 40.637 bytes y si se ejecuta,
infecta los archivos PE con extensiones EXE y HLP del sistema Windows
9x. A su vez, copia el archivo KERNEL32.EXE de 4096 bytes en el sistema
local y modifica el registro del sistema para cargarlo cuando se
reinicie la máquina.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
KERNEL32.EXE=”KERNEL32.EXE”
El proceso KERNEL32.EXE utiliza determinadas librerías para monitorizar
la conexión a Internet. En algunas ocasiones, puede deteriorar los
archivos infectados debido a que sobrescribe los datos.
El virus monitorizará las conexiones a Internet y cuando éstas tienen
lugar, intentará conectarse a una web de Japón mantenida por un grupo
de desarrolladores de virus para descargar “componentes” del virus.
Estos componentes se listan en un archivo llamado “virus.txt”, a su
vez, estos nombres se utilizan para descargar otros nombres de archivos
al sistema local. Cuando se han descargado todos los archivos, el virus
los utilizará para extenderse más.
Si se instala mIRC, el virus modificará la configuración de script.ini
para enviarse automáticamente como “2Kbug-MircFix.exe” cuando se
conecte a los canales irc de Internet.
El virus utiliza Wsock32.dll para enviar una notificación mediante
email a la dirección “babylonia_counter” en hotmail.com siendo su
remitente “babylonia” en rasta.net.
Probablemente sirva para hacer un seguimiento estadístico de las
infecciones.
Los síntomas de infección son:
- Cuando se envía un archivo automáticamente al conectarse a los
canales irc; los archivos EXE y HLP aumentan mucho de tamaño
- Existencia de KERNEL32.EXE (¡ojo, la existencia de KERNEL32.DLL es
correcta!)
