Neuer Virus kann sich selbst updaten

Verschiedene Anti-Viren-Firmen haben vor einem neuen Erreger gewarnt, der sich selbst updaten können soll. „Das ist erst die Spitze des Eisberges“, kommentierte der Berater Eric Chien von Symantec das Auftauchen von „W95.Babylonia“. „Die Virenschreiber nehmen immer mehr Netzwerk-zentrierte Ideen auf, um damit neue Arten von Programmen zu schreiben.“

Bisher bekannte Namen für E-Mail-Anhänge mit der gefährlichen Ladung lauten:

  • I-WATCH-U.EXE
  • BABILONIA.EXE
  • X-MAS.EXE
  • SURPRISE!.EXE
  • JESUS.EXE
  • BUHH.EXE
  • CHOCOLATE.EXE

Symantec hat seit dem ersten Auftauchen von Babylonia am 6. Dezember 24 Virenbefälle gezählt (www.symantec.com/…), Computer Associates seit dem 3. Dezember 15. Das elf KByte große Programm befällt „.exe“- und „.hlp“-Files von Windows 95, richtet allerdings keinen Schaden an – noch nicht. Die Experten vermuten, dass zerstörerische Varianten der Sprachverwirrung nicht lange auf sich warten lassen werden.

Der Virus tauchte erstmals in einer Newsgroup auf – getarnt als Windows Help File namens „serialz.hlp“ – und gab vor, eine Liste von Seriennummern von kommerzieller Software zu sein. Wird das File geöffnet, kopiert es sich in den Kernel-Speicher und eröffnet ein neues, vier KByte großes File mit der Bezeichnung „c:babylonia.exe“. Dann kopiert sich babylonia.exe selbst als „KERNEL32.EXE“ in das Windows System Directory und listet diese Kopie unter „SoftwareMicrosoftWindowsCurrentVersionRun“.

In der Folge führt sich das Programm bei jedem Programmstart selbst aus. Dabei sucht es nach der Applikation „RNAAPP.EXE“, die bei Windows 9x im online-Modus aktiv ist. Wird das Programm fündig, stellt es eine Verbindung zu einer japanischen Site eines Hackers her. Von dort lädt es ein Textfile namens „virus.txt“ herunter. Dieses listet die Namen „dropper.dat“, „greetz.dat“, „ircworm.dat“ und „poll.dat“ auf. Diese nutzen ein spezielles Format mit einem Header, der mit „VMOD“ beginnt. VMOD steht für „Virus Module“.

Schließlich werden die vier geladenen Files aktiv und senden unter anderem die Nachricht „Quando o mestre chegara?“ an die Adresse babylonia_counter@hotmail.com. Dies dient dem Autor dazu, die Zahl der befallenen Rechner festzustellen. Über MIRC verbreitet sich der Virus weiter.

Der Autor, der sich „Vecna“ nennt, gehört laut Symantec zur lateinamerikanischen Gruppe von Virenschreibern namens 29A.

Anwender können eine Infektion durch den Eintrag „W95/Babylonia by Vecna (c) 1999“ in c:autoexec.bat feststellen. Ein Update der eingesetzten Anti-Virensoftware sollte vor einem Befall schützen.

Kontakt:
Symantec, Tel.: 02102/74530

ZDNet.de Redaktion

Recent Posts

CopyRhadamantys greift weltweit Unternehmen an

Ausgeklügelte Phishing-Kampagne verwendet eine weiterentwickelte Version der Rhadamanthys-Stealer-Malware.

2 Tagen ago

Facebook Marketplace: EU verhängt Geldbuße von fast 800 Millionen Euro gegen Meta

Die EU-Kommission kritisiert die Verknüpfung von Facebook und dem hauseigenen Online-Kleinanzeigendienst. Sie sieht darin einen…

2 Tagen ago

Umfrage: Angestellte in Deutschland unterschätzen NIS-2-Richtlinie

Fast zwei Drittel halten jedoch eine Umsetzung aller Vorgaben von NIS 2 bis Jahresende für…

2 Tagen ago

Kostenloser Dekryptor für ShrinkLocker

Mit dem Dekryptor von Bitdefender können Opfer von Attacken mit der Shrinklocker-Ransomware Dateien wiederherstellen.

3 Tagen ago

Malwarebytes warnt vor Betrugsmaschen beim Weihnachtseinkauf

In der Vorweihnachtszeit ist vor allem Malvertising auf dem Vormarsch. Cyberkriminelle locken Nutzer über schädliche…

3 Tagen ago

Bedrohungsindex: Deutliche Zunahme von Infostealern im Oktober

Dazu trägt unter der Infostealer Lumma-Stealer bei. Hierzulande dominiert der Infostealer Formbook die Malware-Landschaft.

3 Tagen ago