Babylon-Virus: Vierkomponenten-Schädling

Wer im Internet auf die Jagd nach Listen mit gecrackten Seriennummern für Software geht, wird rasch fündig. Doch die aktuell in einschlägigen Newsgroups kursierende Datei serialz.hlp ist ein Wolf im Schafspelz: Statt der Freischaltcodes für populäre Programme, enthält sie den Babylon-Virus.

Die vermeintliche Hilfedatei entpuppt sich sehr schnell als Trojanisches Pferd. Auf einem Windows-9x-System gestartet, führt es den Schadenscode aus, der sich in gepackter Form am Ende von serialz.hlp verbirgt. Diese Routine legt im Hauptverzeichnis von Laufwerk C: die 4-KByte-große Datei babylonia.exe an und führt sie aus.

Bei ihrem Start kopiert sie sich als kernel32.exe ins Windows Systemverzeichnis und ergänzt den Registry-Key HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run um den Eintrag Kernel32.exe="Kernel32.exe". Dadurch gelangt der Virus bei jedem Systemstart zur Ausführung, taucht aber als Systemdienst getarnt nicht in der Taskliste von Windows 9x auf. Er wartet versteckt im Hintergrund, bis eine Onlinesitzung aktiv ist und nimmt dann Verbindung zur Website eines japanischen Virenprogrammierers auf. Von dieser Site werden neben einer Textdatei vier Komponenten heruntergeladen, die der Virus nacheinander ausführt:

Für Babylonia stellen NAI und Symantec bereits entsprechende Updates im Internet bereit. Die anderen großen Antivirenhersteller dürften bald folgen. (tri)