Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

Virus: Babylonia. El primer virus capaz de auto actualizarse
 
Martes 7 de diciembre de 1999.

Nombre: W95.Babylonia
Alias: W95.Babylonia Y2K, W32/Babylonia, PE_Babylonia.
Características: mIRC, Y2K, Internet, Windows Help file, Trojans.

Se trata del primer virus capaz de contactarse con un sitio Web para poder actualizarse a si mismo. Esta es una de las características más novedosas y que abre insospechables y peligrosas opciones en el futuro para este virus, que parece haber sido creado por el grupo 29A.

Esta característica de auto actualización, no había sido vista antes, salvo en un virus basado en Java, llamado BeanHive, que nunca llegó a ser una amenaza real. En el Babylonia en cambio, esto funciona y muy bien.

El virus se ha transmitido principalmente a través del IRC (Internet Relay Chat), simulando ser un parche contra el problema del año 2000 (Y2K), engañando a quien lo recibe sin tomar las precauciones necesarias como debería hacerlo con cualquier archivo no solicitado.

Se autoenvía automáticamente a todos los usuarios conectados al mismo canal compartido en ese momento por la PC infectada. Esta es la primera parte del virus. Con este engaño consigue que el usuario desinformado lo ejecute, entonces las restantes cuatro partes llegan a la computadora de la víctima desde un sitio Web localizado en Japón (esto podría modificarse en futuras versiones).

Una vez que Babylonia ha contaminado un PC, esperará por una nueva conexión a Internet, para bajar otras partes vitales que lo "mejoran".

Se publicó originalmente en un grupo de noticias de Internet simulado en un archivo de ayuda de Windows con números seriales (llamado serialz.hlp).

Características técnicas

Es un virus residente en memoria con características de parásito y con habilidades de worms (gusano) y backdoors (trojan).

Solo infecta computadoras con Win9x y afecta varios tipos de archivos: PE EXE (ejecutables de Windows), archivos de ayuda de Windows (HLP), y las librerías para conexión a Internet de Windows (socket library). Permite bajar actualizaciones del virus desde Internet e instalar las mismas en el sistema.

Utiliza llamadas a archivos VxD (drivers virtuales) que sólo se permiten en computadoras con Win9x, por ello no puede infectar estaciones de trabajo ni servidores con WinNT. Utiliza rasgos ya usados por otros virus: propagación en la red (Worm Happy99), infección de archivos HLP (WinHLP.Demo), instalación en memoria (Win95.CIH), etc.

Instalación

Cuando un archivo EXE infectado se ejecuta, el virus se instala residente en la memoria. Infecta un archivo adicional (drops), y retorna el control al programa host.

Para instalarse residente en memoria, el virus examina el corazón (kernel) de Windows, consigue las direcciones necesarias de las funciones instaladas y se instala a si mismo "residente en memoria" como un driver del sistema (VxD). Se asigna un bloque de memoria de Windows para copiarse allí, y engancha las APIs de IFS (funciones de acceso al disco). Para cambiar su código de nivel de acceso como una aplicación a un driver del sistema (de Ring3 a Ring0) el virus utiliza cierto sencillo truco.

El virus crea entonces un archivo EXE (PE) adicional (de 4K) en la raíz del disco C: (C:\BABYLONIA.EXE). Este es un componente que se ejecuta como una aplicación autosuficiente y descarga las partes adicionales (updates). Guarda la imagen de este archivo en un formato comprimido, así que ocupa menos de 2K en el cuerpo del virus.

Mientras se instala como residente en memoria, examina los drivers del sistema, en busca de aquellos con nombre AVP9* y SPID* (usados por monitores de antivirus), y los modifica para que no puedan actuar. Esta rutina tiene un problema que causa un error de sistema cuando el virus modifica el Monitor del antivirus AVP (AVP Monitor). Como resultado, el virus no puede instalarse en el sistema. Es probable esta falla sea "arreglada" en futuras versiones.

Infección de archivos EXE

Los "ganchos" a los APIs de IFS, interceptan tres tipos de formas de acceso a los archivos: atributos de lectura y de modificación, apertura y renombrado de archivos. En todos estos casos el virus pasa el control a la rutina de infección.

Cuando un archivo PE es accedido, el virus verifica su formato interior y se escribe al final del mismo, aumentando su tamaño. En algunos casos, cuando el archivo tiene una sección interna sin uso lo bastante grande (la sección denominada "Fixup", una parte casi nunca usada), el virus desactiva esta sección y se escribe en la misma, no variando en este caso el tamaño del archivo infectado.

Para tomar el control cuando el archivo infectado se ejecuta, no toca la dirección de comienzo del programa, pero modifica la rutina de entrada. Utiliza una tecnología llamada "Entry Point Obscuring" (exactamente igual al virus CTX), examina el código de entrada del archivo y borra alguna posición del mismo con una instrucción de llamada al virus (CALL_Virus).

Infección de archivos HLP

Cuando infecta archivos HLP, el virus crea un script que se activa cada vez que este archivo de ayuda es accedido por Windows. Modifica la estructura interna del archivo HLP, agrega su script al área "SYSTEM", convierte este código en una rutina de inicio (start-up) polimórfica y lo incluye en el script.

Apelando a un truco, el script obliga al sistema de ayuda a ejecutar ciertos datos especialmente preparados como código binario de un programa de Windows32, estos datos son incluidos en una de las instrucciones en el script del virus. Estos datos son parte de la rutina "start-up" polimórfica que construye el código principal, y lo ejecuta como una aplicación Windows32. Las rutinas de instalación del virus toman el control e instalan a éste en el sistema, como se explicaba antes.

Infección de WSOCK32.DLL

Al infectar la librería WSOCK32.DLL, el virus obtiene la función "SEND" y la modifica con una corta rutina que activa la copia residente en memoria del virus para enviarse a si mismo a Internet. Cuando un WSOCK32.DLL infectado es cargado, el virus filtra los datos que se están enviando, y cuando se trata de mensajes, se añade a ellos vinculando a los mismos archivos infectados, aún si el mensaje ya tiene un archivo adjunto, obteniéndose en este caso un mensaje con dos o más archivos adjuntos. El adjunto es un ejecutable de Win32 (PE), con el nombre X-MAS.EXE.

Una rutina se debería encargar de seleccionar entre 6 posibles variantes el nombre (que depende del mes en curso), pero falla, y como resultado el nombre siempre es X-MAS.EXE.

Los nombres a elegir serían:

I-WATCH-U
BABILONIA
X-MAS SURPRISE!
JESUS
BUHH
CHOCOLATE

Este archivo tiene unos 17 Kb (6 Kb del host y 11Kb del código del virus. El Babylonia no infecta archivos menores de 8 Kb, pero hace una excepción exactamente con este archivo). Cuando este adjunto es ejecutado, el virus se instala en el sistema y devuelve el control al host. Este abre todos los programas en el directorio actual, en el directorio de Windows, y en el directorio Windows\System. Como el virus se haya residente, todos los archivos EXE (PE) resultan infectados.

El programa host despliega dos mensajes falsos de error:

Loader Error
API not found!

y

Loader Error
Windows NT required!
This program will be terminated

Si se ejecuta en Windows NT el mensaje cambia por:

Loader Error
Windows 95 required!
This program will be terminated

Sin embargo, Babylonia solo funciona en Windows 95 y 98.

Componentes adicionales y plugins

Cuando el virus se está instalando en el sistema, crea el archivo C:\BABYLONIA.EXE y escribe un caballo de Troya (del tipo backdoor). Este programa es auto suficiente, no se vincula al virus de ninguna manera. El virus no lo infecta porque su tamaño es de 4 Kb, y como vimos, no infecta archivos menores de 8 Kb. Sin embargo, este trojan adicional tiene más funciones que el virus que lo engendró.

Cuando BABYLONIA.EXE se ejecuta, se registra como "proceso de servicio" ("service process", es decir, no visible en la lista de tareas al pulsar CTRL+ALT+SUPR). Se copia a si mismo en el directorio System de Windows con el nombre de KERNEL32.EXE (note que existe en Windows un KERNEL32.DLL) y registra este archivo en la sección "auto-run" del registro del sistema:

HKEY_LOCAL_MACHINE\Software\Microsoft
\Windows\CurrentVersion\Run

El trojan se conecta a un sitio Web de hackers en Japón, y recibe el archivo "vecna/virus.txt". Este archivo contiene una lista de archivos adicionales. El trojan baja entonces uno por uno estos archivos y los procesa. En caso de no existir ninguna conexión con Internet, o no estar accesible este archivos o el sitio, el gusano se mantiene en la memoria de Windows y a cada minuto intenta conectarse al sitio y conseguir estos archivos. Cuando los mismos se bajan y son procesados, el trojan termina.

Los archivos en dicho sitio Web, tienen un formato especial. En el cabezal (header) se encuentra la identificación "VMOD", la versión, y la dirección de la rutina principal de dicho archivo. Estas rutinas son programas ejecutables Win32. El virus los localiza y los llama. Como resultado estos archivos de datos bajados del sitio Web hacker, se ejecutan como "plugins", y usando estos plugins el autor del Babylonia puede realizar casi lo que desee (en el futuro, con nuevos plugins) en las computadoras afectadas, cambiar a una versión mejorada, instalar trojans y backdoors, etc...

Los plugins (al 7/dic/99)

Dropper.dat

Crea el archivo C:\INSTALAR.EXE (este nombre está en español, y posee unos 17,020 bytes). Genera el programa C:\BABYLONIA.EXE, y C:\WINDOWS\SYSTEM\KERNEL32.EXE, que son idénticos, lo ejecuta y luego lo borra. Este EXE es igual al que se envía como archivo adjunto. De este modo, si el sistema se desinfecta de las copias del virus, pero el componente del trojan está instalado en la computadora, este bajará y reinstalará el virus en el sistema.

Greetz.dat

Este archivo comprueba la fecha y la hora, y el 15 de enero de todos los años antes de las 5:00 y después de las 20:00, escribirá en el archivo C:\AUTOEXEC.BAT, la serie de comandos que despliegan el mensaje:

W95/Babylonia by Vecna (c) 1999
Greetz to RoadKil and VirusBuster
Big thankz to sok4ever webmaster
Abracos pra galera brazuca!!!
---
Eu boto fogo na Babilonia!

Ircworm.dat

Este plugin instala en el sistema un gusano del mIRC, que se extiende a través de los canales de IRC con los nombres de "2kBug-MircFix.EXE" y "2kbugfix.ini". Según AVP, esto no fue testeado en el laboratorio, pero parece ser que el virus tiene aquí un problema y el gusano no podría propagarse. Otros expertos aseguran que ya lo ha hecho.

Poll.dat

Este cuarto plugin es el que informa al autor del virus sobre la computadora infectada, enviando a la dirección "babylonia_counter@hotmail.com", este mensaje:

Quando o mestre chegara?

Estos mensajes no son interceptados por la copia residente del virus, y no son infectados con archivos adjuntos. Para prevenir volver a ser enviados, Babylonia crea un archivo "05_12_99" en el directorio System de Windows. Si este archivo existe, el plugin termina sin enviar ningún e-mail. Esta opción parece servir para que los creadores del virus tengan estadísticas de la propagación del mismo.

Síntomas

  • Un archivo Babylonia.exe en el directorio raíz.
  • Kernel32.exe en c:\windows\system, exactamente igual a c:\babylonia.exe
  • Kernel32.exe en el registro (HKLM\...\run).
  • Kernel32.exe ejecutándose en varios hilos (threads) en la máquina.
  • Programas que están ejecutándose parecen crecer en tamaño (archivos .EXE) y se ha modificado su fecha (fecha de la infección inicial).
  • Una búsqueda en el disco duro revela una lista creciente de archivos de diferentes clases, que aparecen con la palabra "Babylonia".

Panda Software recomienda a los usuarios de mIRC que extremen las precauciones al intercambiar archivos, así como al configurar las opciones de este programa de chat para no aceptar automáticamente los ficheros ejecutables. Asimismo, se recomienda a los usuarios no ejecutar ningún archivo adjunto a un mensaje de correo que provenga de una fuente desconocida, y aquellos que, aun proviniendo de fuentes conocidas, no hayan sido solicitados.

Texto basado en el análisis de Eugene Kaspersky (AVP Antivirus) e información de Panda Software, Symantec Antivirus Research Center, Sophos Antivirus y Computer Associates.

Copyright 1996-2000 Video Soft BBS