virus babilonia

Alias: Babylonia.exe, W95.Babylonia, W95/Babylonia, W95/Babylonia, W95/Babylonia.hlp, W95/Babylonia.irc, W95/Babylonia.pluginVariantes: W95/Babylonia.bat,W95/Babylonia.hlp, W95/Babylonia.irc, W95/Babylonia.plugin
Este virus se distribuyó por primera vez en el grupo de noticias “Alt.Crackers” en forma de un archivo de ayuda llamado SERIALZ.HLP el 3 de diciembre de 1999. El lugar de origen del virus está en Brasil.El archivo original tiene un tamaño de 40.637 bytes y si se ejecuta, infecta los archivos PE con extensiones EXE y HLP del sistema Windows 9x. A su vez, copia el archivo KERNEL32.EXE de 4096 bytes en el sistema local y modifica el registro del sistema para cargarlo cuando se reinicie la máquina.
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunKERNEL32.EXE=”KERNEL32.EXE”El proceso KERNEL32.EXE utiliza determinadas librerías para monitorizar la conexión a Internet. En algunas ocasiones, puede deteriorar los archivos infectados debido a que sobrescribe los datos.El virus monitorizará las conexiones a Internet y cuando éstas tienen lugar, intentará conectarse a una web de Japón mantenida por un grupo de desarrolladores de virus para descargar “componentes” del virus. Estos componentes se listan en un archivo llamado “virus.txt”, a su vez, estos nombres se utilizan para descargar otros nombres de archivos al sistema local. Cuando se han descargado todos los archivos, el virus los utilizará para extenderse más.Si se instala mIRC, el virus modificará la configuración de script.ini para enviarse automáticamente como “2Kbug-MircFix.exe” cuando se conecte a los canales irc de Internet.El virus utiliza Wsock32.dll para enviar una notificación mediante email a la dirección “babylonia_counter” en hotmail.com siendo su remitente “babylonia” en rasta.net.Probablemente sirva para hacer un seguimiento estadístico de las infecciones.Los síntomas de infección son:- Cuando se envía un archivo automáticamente al conectarse a los canales irc; los archivos EXE y HLP aumentan mucho de tamaño- Existencia de KERNEL32.EXE (¡ojo, la existencia de KERNEL32.DLL es correcta!)