Virus Babylonia

Efectos:

Babylonia provoca los siguientes efectos en el ordenador afectado:

• Infecta ficheros ejecutables (con extensión EXE) y ficheros de ayuda de Windows (con extensión HLP).
• Muestra mensajes en pantalla.
• Se conecta con una página de Internet, con el objetivo de descargar unos ficheros necesarios para que el virus pueda realizar todas sus acciones.
• Se propaga a través de correo electrónico.

Metodo de infección:

Babylonia crea los siguientes ficheros:

• BABYLONIA.EXE en el directorio raíz del disco duro. Posteriormente comprime este fichero, dejando su tamaño en 2 Kbytes y lo ejecuta. Es una copia del virus.
• Un fichero con nombre aleatorio y extensión TXT, en el que el virus lleva la cuenta de las infecciones realizadas.

Babylonia descarga desde una página de Internet los siguientes ficheros (mientras no consiga contactar con esa Web, intenta conectar con ella cada minuto):

• DROPPER.DAT: mediante este fichero, Babylonia crea el fichero INSTARLAR.EXE en el directorio raíz del disco duro. Babylonia ejecuta el fichero INSTALAR.EXE y a continuación lo borra.
• GREETZ.DAT: el día 15 de enero escribe dentro del fichero de proceso por lotes AUTOEXEC.BAT el texto de un mensaje que éste deberá presentar cuando se arranque el ordenador.

• IRCWORM.DAT: este plug-in inserta un gusano que intenta enviarse a sí mismo a través de los canales de IRC como los ficheros 2KBUG-MIRCFIX.EXE y 2KBUGFIX.INI. No lo consigue ya que dicho módulo tienen un error de programación.
• POLL.DAT: Envía un mensaje de correo electrónico a la dirección del autor del virus: babylonia_counter@hotmail.com.

Babylonia modifica el siguiente fichero:

• KERNEL32.DLL. Se copia a sí mismo dentro de esta librería de enlace dinámico.

Babylonia crea la siguiente entrada en el Registro de Windows:

• HKEY_LOCAL_MACHINE\ SOFTWARE\ Microsoft\ Windows\ CurrentVersion\ Run
  KERNEL32.EXE = "KERNEL32.EXE"
  Con ello, consigue ejecutar la librería KERNEL32.DLL cada vez que se inicia el sistema.

Metodo de propagación:

Babylonia se propaga a través del correo electrónico.

Para hacerlo, modifica el fichero WSOCK32.DLL, gracias a lo cual le será posible saber cuando Windows ejecuta la función Send para el envío de un determinado mensaje.

En ese momento el virus se encarga de adjuntar a dicho mensaje (incluir en él) el fichero X-MAS.EXE.

Los mensajes de correo a través de los cuales se propaga Babylonia tienen las siguientes características:

• Asunto:
  Test Message
• Contenido del mensaje:
  This is a test
• Fichero adjunto:
  X-MAS.EXE
  

Babylonia también está preparado para propagarse a través de los canales de chat IRC. Sin embargo, un error en su código de programación se lo impide.

Otros detalles:

Para que conozca un poco mejor a Babylonia, aquí le presentamos alguna de sus características:

• Inicialmente, el fichero que provoca la infección debería variar en función del mes en que se envía el mensaje. Sin embargo, un error en su código provoca que Babylonia siempre envíe el mismo fichero adjunto: X-MAS.EXE. Los ficheros que debería enviar son:
  -JESUS.EXE en enero.
   
  -I-WATCH-U.EXE en febrero, mayo, agosto y septiembre.
   
  -CHOCOLATE.EXE en marzo.
   
  -SURPRISE.EXE en abril.
   
  -BABYLONIA.EXE en junio y julio.
   
  -BUHH.EXE en octubre y noviembre
   
• La primera vez que se localizó este virus fue el 3 de Diciembre de 1999 a través de un grupo de noticias denominado alt.crackers, en cuyo caso el virus apareció infectando a un fichero de ayuda denominado SERIALZ.HLP.
• Dentro del código del virus se puede leer el siguiente texto:
  W95/Babylonia by Vecna (c) 1999
  Greetz to RoadKil and VirusBuster
  Big thankz to sok4ever webmaster
  Abracos pra galera brazuca!!!
  ---
  Eu boto fogo na Babilonia!
• El fichero que provoca la infección tiene un tamaño de 4096 Bytes. Sin embargo, el fichero que se envía por correo tiene un tamaño de 17 Kbytes.