Virus mit Updatefunktion

Seit einigen Tagen ist der Windows-Parasit Babylonia im Umlauf. Er befällt Windows-Programme im so genannten "portable executable" Format, die auf .exe und .hlp enden. Außerdem installiert er auf Windows-Rechnern eine Komponente, die versucht, über das Internet weitere Programmmodule von einem japanischen Server nachzuladen (IP-Nummer 210.169.20.21). Babylonia verbreitet sich durch die Weitergabe infizierter Programme und außerdem auch selbstständig über das Chatprogramm mIRC und per E-Mail.

Babylonia versucht, sich über eine Windows-Systemdatei (wsock32.dll) in den E-Mailversand einzuklinken und alle abgehenden Nachrichten um einen infizierten Dateianhang zu ergänzen. Mögliche Namen der riskanten Attachments sind: X-MAS.exe, I-watch-U.exe, babilonia.exe, Surprise!.exe, jesus.exe, buhh.exe und chocolate.exe. Sofern mIRC installiert ist, versendet der Parasit sich an alle Benutzer in besuchten Chatrooms als angebliches Y2K-Update (2kBug-MircFix.EXE) -- mIRC-Anwender sollten unbedingt die einschlägigen Sicherheitshinweise beachten und insbesondere die Funktion "auto DCC get" abschalten.

Der neue Parasit ist angeblich zuerst am 3. Dezember in der Newsgroup alt.cracker als Attachment zu einem Newsbeitrag aufgetaucht: Vorgeblich handelte es sich dabei um eine Hilfedatei mit Software-Seriennummern (serialz.hlp). Die Vireninformationen der Anti-Virus-Software-Hersteller berichten von keiner Schadfunktion. Es steht zu erwarten, dass alle namhaften Anbieter in Kürze Updates ihrer Virensignaturen veröffentlichen, mit denen eine Erkennung und Entfernung von Babylonia möglich sein wird. (nl)