ttt: Babylon-Virus: Vierkomponenten-Schädling

Diese Meldung erschien bei tecCHANNEL vor 1000 Tagen am 8.12.1999. Mit unserem Service "Tausend Tage tecCHANNEL" (ttt) weisen wir noch einmal auf wichtige Entwicklungen der Vergangenheit hin und prüfen, was aus hochgelobten Trends und Technologien geworden ist.

Die vermeintliche Hilfedatei entpuppt sich sehr schnell als Trojanisches Pferd. Auf einem Windows-9x-System gestartet, führt es den Schadenscode aus, der sich in gepackter Form am Ende von serialz.hlp verbirgt. Diese Routine legt im Hauptverzeichnis von Laufwerk C: die 4 KByte große Datei babylonia.exe an und führt sie aus.

Bei ihrem Start kopiert sie sich als kernel32.exe ins Windows-Systemverzeichnis und ergänzt den Registry-Key HKLM\\Software\\Microsoft\\Windows\\CurrentVersion\\Run um den Eintrag Kernel32.exe="Kernel32.exe". Dadurch gelangt der Virus bei jedem Systemstart zur Ausführung, taucht aber als Systemdienst getarnt nicht in der Task-Liste von Windows 9x auf. Er wartet versteckt im Hintergrund, bis eine Online-Sitzung aktiv ist und nimmt dann Verbindung zur Website eines japanischen Virenprogrammierers auf. Von dieser Site werden neben einer Textdatei vier Komponenten heruntergeladen, die der Virus nacheinander ausführt:

Für Babylonia stellen NAI und Symantec bereits entsprechende Updates im Internet bereit. Die anderen großen Antivirenhersteller dürften bald folgen. (tri)

Babylonia war nur der Anfang einer Welle von so genannten "Hybridviren". Heute taucht kaum noch ein Wurm oder Virus auf, der sich exklusiv per Mail verbreitet. Windows-Freigaben und DCC-Versand per mIRC zählen heute neben E-Mail zu den häufigsten Verbreitungswegen. Der tecCHANNEL-Virenticker informiert Sie über die aktuellen Warnungen der Antivirenhersteller. Gebündelte Informationen zum Thema Viren bietet unser Special Der sichere PC.. (nie)