Vφrusov² radar -  1/2000

Ke∩ som bol mal², chcel som by¥ prφrodovedcom. Hltal som vÜetky knihy o prφrode. V t²ch dßvnych dobßch dßvali v televφzii serißl o zvieratßch s nßzvom äPre₧ij· rok 2000?ô. Zdß sa ₧e pre₧ili. ZaΦiatkom devΣtdesiatych rokov som od jednΘho odbornφka poΦul podobn· ·vahu o vφrusoch. Predpokladal, ₧e modernΘ operaΦnΘ systΘmy urobia vφrusom prφtr₧. Nu₧ zdß sa ₧e poΦφtaΦovΘ vφrusy pre₧ili tie₧ a naopak sa im ve╛mi dobre darφ. Dokladom toho je aj nasleduj·ca novinka.

Win95.Babylonia

Je to parazitick² rezidentn² vφrus napφsan² Üpecißlne pre prostredie Windows 95/98. P⌠vodne bol zaslan² do Usenetu v s·bore s nßzvom äserialz.hlpô v ktorom mali by¥ prφstupovΘ heslß na erotickΘ servery. Je to u₧ klasick² trik. Naj·ΦinnejÜie nalßkate ╛udφ na sex.

Vφrus sßm je ak²si äkombajnô pou₧φvaj·ci ako klasickΘ tak i novΘ technol≤gie v integrovanom celku. Vie sa Üφri¥ ako vφrus i ako Φerv. Vyu₧φva na to vykonßvate╛nΘ s·bory typu PE (Windows executable files) a HLP (Windows help files). Äivotn² cyklus vφrusu je ve╛mi zlo₧it², tak uvediem aspo≥ äkrßtkyô popis.

Po spustenφ zostane rezidentn²m v pamΣti ako VxD ovlßdaΦ. ╧alej deaktivuje niektorΘ rezidentnΘ antivφrusy. Vygeneruje do kmenovΘho adresßra s·bor s menom babylonia.exe a s dσ₧kou 4KB. Potom tento s·bor spustφ. Ten sa zaregistruje v regitroch v polo₧ke Software\Microsoft\Windows\CurrentVersion\Run Φo sp⌠sobφ jeho aktivßciu pri ka₧dom Ütarte systΘmu. Do pamΣte sa inÜtaluje ako slu₧ba (nie je teda vidie¥ v ätask listeô). Modifikuje WSOCK32.DLL tak, aby bol ku ka₧dΘmu e-mailu odchßdzaj·cemu z infikovanΘho poΦφtaΦa prilo₧en² s·bor obsahuj·ci vφrus. Menß s·borov a ich ikony pride╛uje v zßvislosti od aktußlneho mesiaca pod╛a nasledovnej tabu╛ky:
 


Mesiac Nßzov s·boru Ikona
Janußr JESUS.EXE Betlehem
Februßr I-WATCH-U.EXE tvßr
Marec CHOCOLATE.EXE pes
Aprφl SURPRISE.EXE kraslica
Mßj I-WATCH-U.EXE tvßr
J·n BABILONIA.EXE zßstava
J·l BABILONIA.EXE zßstava
August I-WATCH-U.EXE tvßr
September I-WATCH-U.EXE tvßr
Okt≤ber BUHH.EXE tekvica
November BUHH.EXE tekvica
December X-MAS.EXE Santa Claus

 

M≥a najviac zaujalo, ₧e vφrus mß zabudovan² backdoor a ₧e sa dokonca vie sßm dopσ≥a¥ cez internet pomocou tzv. pluginov. Zatia╛ s· znßme 4 pluginy:

DROPPER.DAT

Vytvorφ C:\INSTALAR.EXE, spustφ ho a vzßpΣtφ zma₧e. 

IRCWORM.DAT

NainÜtaluje IRC Φerva, ktor² sa Üφri cez mIRC kanßly pod nßzvami 2kBug-MircFix.exe a 2kbugfix.ini.

GREETS.DAT

15. janußra mezdi 5:00 a 20:00 vlo₧φ do Autoexecu nasledovnΘ riadky:

echo W95/Babylonia by Vecna (c) 1999 
echo Greetz to RoadKil and VirusBuster 
echo Big thankz to sok4ever webmaster 
echo Abracos pra galera brazuca!!! 
echo --- 
echo Eu boto fogo na Babilonia! 

POLL.DAT

ZaÜle na adresu babylonia_counter@hotmail.com s textom:

Quando o mestre chegara?

a vytvorφ znaΦkovacφ s·bor v systΘmovom adresßri Windows aby sa na bud·ce vyhol duplicitnΘmu zaslaniu sprßvy.

äOficißlna web strßnkaô tohoto vφrusu bola zruÜenß, krßtko po tom, ako webmaster coderz.net dostal nieko╛ko ve╛mi d⌠razn²ch upozornenφ jednak od antivφrusov²ch spoloΦnostφ a jednak od japonskΘho ministerstva telekomunikßcii. Podstatou t²chto upozornenφ bola vo╛ba û alebo zruÜφ Vecnovu strßnku, alebo mu zruÜia server (naprφklad ako sa to stalo po afΘre s Melissou znaΦnΘmu poΦtu undergroundov²ch pro-vφrusov²ch serverov). Za dan²ch okolnostφ sa BEAMZ ( webmaster coderz.net) zachoval ve╛mi rozumne, konto vymazal a na titulnej strßnke uverejnil ospravedlnenie. S poΦtom napadnut²ch poΦφtaΦov to nebolo a₧ tak zlΘ, vzh╛adom na pomerne rozsiahle mo₧nosti Üφrenia po sieti, undergroundovΘ zdroje odhaduj·, ₧e bolo celosvetovo postihnut²ch okolo 1000 poΦφtaΦov a na samotnom Vecnovom konte bolo okolo 630 emailov²ch hlßsenφ od vφrusu. V ka₧dom prφpade dos¥ na to, aby sa spustil tradiΦn² cirkus, ktor² niektorΘ spoloΦnosti pou₧φvaj· na zv²Üenie predaja svojich produktov. A aj pre novinßrov ve╛mi vhodnß prφle₧itos¥ prezentova¥ osvedΦenΘ katastrofickΘ vφzie o skaze sveta. CelΘ nebezpeΦenstvo spoΦφvaj·ce v tomto vφruse je fakt, ₧e sa m⌠₧e sta¥ impulzom, z ktorΘho vznikne nov² trend.

Pßr slov k autorovi. Vecna, pochßdza z Brazφlie a nie je v pφsanφ vφrusov ₧iadnym novßΦikom. Od j·la je ako pisate╛ vφrusov na ävo╛nej noheô. Vzh╛adom na p⌠vod z ju₧nej Ameriky je pochopite╛nΘ, ₧e zakotvil na urΦit² Φas v p⌠vodne Üpanielskej skupine 29A (mimochodom 0x29A je dekadicky 666). V minulosti bol Φlenom skupiny Feathered Serpents a mnoh²ch ∩alÜφch. Pod╛a nßzoru niektor²ch Φlenov undergroundu je Vecna jedn²m z najviac reÜpektovan²ch, Φo sa t²ka technick²ch otßzok. Je to najmΣ v∩aka tomu, ₧e sa sna₧φ uvßdza¥ do ₧ivota novΘ technol≤gie. Zdß sa, ₧e Vecna je na seba a svoj zatia╛ posledn² v²tvor patriΦne hrd², nako╛ko Üpecißlne o tomto vφruse je na na strßnkach coderz.net dostupnΘ interview s autorom (pre nechßpav²ch: O je otßzka a O znaΦφ odpove∩ û preklad z anglickΘho äQ & Aô):

O: Je myÜlienka vytvorenia vφrusu, ktor² m⌠₧e by¥ upgradovan², novß, alebo mß starÜie zßklady?

O: MyÜlienka vφrusu pou₧φvaj·ceho pluginy u₧ nejak² Φas poletovala medzi w32 programßtormi... tßto technol≤gia je tie₧ pou₧φvanß v AV updatoch

(Costin Raiu z rumunskΘho GeCad vravel, ₧e zßkladn² formßt Vecna pravdepodobne ukradol s ich antivφru)

O: MyslφÜ si, ₧e toto je tvoj najlepÜφ vφrus, alebo je niektor² z predchßdzaj·cich lepÜφ?

O: Nieko╛ko mojich vφrusov je lepÜφch... lexotan, cocaine, fono ...

O: Ako dlho ti trvalo jeho programovanie?

O: viac û menej tri mesiace... ale na niektorΘ Φasti, ako naprφklad rutina na preskok z RING3 na RING0 som potreboval viac Φasu (mimochodom pou₧φva GDT a nie IDT ako sa pφÜe v AVPVE)

O: Ktorß bola naj¥a₧Üia Φas¥ vφrusu?

O: k≤d vφrusu sφdli vo wsock32.dll musφ zφska¥ ukazovate╛ na rezidentn· Φas¥ v RING0 pamΣti... Pou₧il som volanie atrib·tov s·boru so Üpecißlnym menom, ktorΘ pozostßva z A -Z znakov a ktorΘ je vlastne skonvertovanou adresou... tßto komunikaΦnß schΘma bola najnßroΦnejÜia na programovanie

O: Vφrus pou₧φva nieko╛ko ciest na Üφrenie, ktorß sa ti javφ najefektφvnejÜia?

O: zaslanie samΘho seba ako prφlohu k e-mailu... napriek tomu, ₧e AVPVE tvrdφ, ₧e tßto Φas¥ vφrusu nefunguje, stßle verφm ₧e novΘ ikony a menß s·borov, ktorΘ sa zjavia v nasledovn²ch mesiacoch znova zv²Üia rozÜφrenie

O: MyslφÜ ₧e tento vφrus je v²znamn²m prφkladom pre budu·cnos¥?

O: hmm... ßno... ale bol to prirodzen² krok... happy99 bol lepÜφ prφklad :)

O: Ako si vybral meno pre vφrus?

O: babylonia je, pre rastafarisa. miesto diabla a domov satana...

Ako vidφte v²voj je zaujφmav². ╚as ukß₧e Φi tento vφrus znamenal prielom, alebo len ∩alÜφ stupienok vo v²voji poΦφtaΦov²ch infiltrßcii. Nech je ako chce, prajem vßm do novΘho roku aby ste sa s vφrusmi stretali len na strßnkach VφrusovΘho radaru.

Miroslav Trnka


 
Poslednß aktualizßcia: