W95.Babylonia病毒详细资料

Emil

病毒名称：W95.Babylonia
别名： 巴比伦尼亚
发作时间：无
长度： 11,036字节
感染症状：生成一个KERNEL32.EXE文件
发作症状：
病毒类型：复合型
操作平台：Windows9x
感染对象：.EXE和.HLP文件
病毒性质：恶性
病毒介绍：W95.Babylonia于1999年12月6日被发现，该病毒最初是被以
一个名为serialz.hlp的帮助文件寄往一个新闻组的，内容是
一些商业软件的序列号。当该Windows帮助文件被打开，它便
会感染系统，值得注意的是该病毒传播速度非常快！该病毒
的作者与W32.Coke和W95.Fono (a.k.a. El_Inca)病毒的作者
可能是同一个人。
W95.Babylonia是一个复合型病毒，通过mIRC或者电子邮
件的附件来传播，另外，所有被感染的.HLP和.EXE文件还可
能感染其他系统。该病毒采用了许多检验感染技术，而这些
技术在过去的几年中就被病毒的作者用于Windows9x操作平台
中。
当打开一个被感染的Windows9x帮助文件（.HLP），该病
毒便被激活，并用一段短小的程序片断修改.HLP的入口端，
把控制权由原来正常的代码转至二进制病毒代码，而这些病
毒代码是以可变的压缩形式寄生在.HLP文件的尾部。
当该二进制的病毒代码取得了控制权，该病毒便试图把
自身驻留到内存中，以便感染其他的文件，然后该病毒会在
c:盘根目录建立一个名为babylonia.exe长度为4KB的文件，
接着就由babylonia.exe登场了。
当babylonia.exe取得了控制权，它就会把自身拷贝到
%windows%/system目录下（%windows%为windows所安装的目
录），另定名为KERNEL32.EXE，并修改注册表中Software\
Microsoft\Windows\CurrentVersion\Run，以便系统每次启
动的时候都能运行该文件。
该模块会伪装成一个设备驱动程序来运行，所以在Win-
dows9x程序列表中是看不到它的。该特洛伊木马（指KERNE-
L32.EXE）会检查是否已经运行RNAAPP.EXE，如果没有运行则
会进入休眠期，隔段时间再检查。
RNAAPP.EXE是Windows9x拨号网络用的程序，当这个程序
已经运行的时候，该病毒便会试图联接其作者（日本）的主
页。
首先该病毒会下载一个名为virus.txt的文本文件，文件
列出了几个文件名（目前是四个），分别是dropper.dat,
greetz.dat, ircworm.dat和poll.dat。它们好像都使用了一
种特殊的文件格式，其文件头都是'VMOD'，代表病毒模块，
而这些该病毒模块头部包含着一个模块输入端，接着该木马
会下载这些文件，然后以病毒自身的程序一个接一个的运行
它们。这样，这个木马就能在被感染的计算机上引入其他附
加的功能。如果系统已杀过毒但该木马仍在活动的话，病毒
就有可能再次感染系统，因为病毒会建立一个大小为17KB名
为INSTALAR.EXE的文件，并自动运行它，然后利用这个文件
再次感染系统，完成后便自动删除。
Greetz.dat模块会在一月份的时候自动修改c:\autoexe-
c.bat文件，修改的内容含有以下内容：
W95/Babylonia by Vecna (c) 1999
Ircworm.dat似乎是一个mIRC蠕虫程序，该蠕虫会传播两
个文件到每个mIRC通路，这两个文件是：2kBug-MircFix.EXE
和2kbugfix.ini。
而最后一个模块（poll.dat）会发送一个电子邮件到这
个信箱中：babylonia_counter@hotmail.com，内容是：Qua-
ndo o mestre chegara? 这封电子邮件是该病毒作者用来统
计被感染者的数量。
当该病毒感染文件的时候使用了一种嵌入技术，并不是
简单的修改PE文件的输入端，也许是为了不让启发式查毒程
序能轻易的查到它。而该病毒是寄生在被感染文件的末尾。
当病毒驻留内存就很难被清除，这就和CIH非常相像。
另外值得注意的是该病毒进行感染的时候如果病毒没有
驻留内存，就会修改WSOCK32.DLL文件，在WSOCK32.DLL中加
了一段短小的程序，这与Happy99蠕虫非常相像。当发送电
子邮件的时候这段程序便会把控制权转给病毒，然后病毒就
会把一段MIME编码附在邮件中随邮件一起发送，这样病毒传
播就非常广了。
附件可能是下面的文件：
I-WATCH-U.EXE
BABILONIA.EXE
X-MAS.EXE
SURPRISE!.EXE
JESUS.EXE
BUHH.EXE
CHOCOLATE.EXE
INSTALAR.EXE的图标是一个圣诞老人的头像。
备注：
Emil整理