Norton AntiVirusのユーザは、LiveUpdateを使用するか、またはウイルス定義ファイルのダウンロードページから最新のウイルス定義ファイルをダウンロードすることにより、このウイルスに対応することができます。

W95.Babyloniaは1999年12月3日の夜、serialz.hlpというファイル名がついたWindowsヘルプファイルとしてあるインターネットニュースグループに最初に投函されました。このファイルは一見、市販ソフトウェアのシリアル番号のリストに見えますが、起動されると、システムにウイルスを送り込みます。シマンテック アンチウイルス リサーチセンター(SARC)には12月6日現在、この新しいウイルスによる感染報告が既に寄せられており、世界中に急速に広がったものと思われます。このウイルスは、W32.CokeやW95.Fono（別名El_Inca）の作者と同じ人物により作成されたようです。これまでにヨーロッパ、アメリカ、アジア太平洋諸国で感染報告が寄せられています。

種別: ウイルス, ワーム, トロイの木馬

感染サイズ: 11,036バイト

対応日(Intelligent Updater)* 99/12/07(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 0-49 報告件数: 0-2 地域感染度: 低 対処レベル: 高 駆除: 容易

危険性評価グラフ 被害状況: 低 ダメージ: 低 感染力: 低

W95.Babyloniaは、mIRC経由あるいは電子メールに添付された通常のファイルとして他のコンピュータユーザに感染を広げる複雑なウィルスです。また、.HLP、.EXEファイルに感染すると、そのファイルから他のシステムに伝染する可能性が生じます。このWindows 95ウィルスは、過去数年間に渡ってウィルス作者達がWindows 9xプラットフォーム用に開発、改良した数多くの感染技術を採用しています。

ヘルプファイル(.HLP) を開く

感染している.HLPファイルがWindows 9xシステムに配置されると、ウィルスコードが活性化します。このウィルスは、.HLPファイルのエントリポイントを短いスクリプトルーチンに変更し、そこから（.HLPファイルの末尾に様々な圧縮形式で配置される）バイナリ形式のウィルスコードに制御を渡します。

バイナリ形式のウィルスコードが制御を得ると、ウィルスはコンピュータ上のカーネルメモリ領域に自分自身をインストールして、ファイルシステムをウィルスコードにフックします。その後、c:\babylonia.exeという4キロバイトのファイルを作成して実行します。

babylonia.exeの実行

babylonia.exeが制御を得ると、Windowsシステムディレクトリに自分自身をKERNEL32.EXEとしてコピーし、それを次のレジストリに登録します。

Software\Microsoft\Windows\CurrentVersion\Run

その結果、システムの起動時に毎回、KERNEL32.EXEが実行されるようになります。

このモジュールはシステムのサービスとして登録されるため、Windows 9xのタスクリストでは確認できません。このトロイの木馬は最初に、動作中のプロセスを調べることにより、RNAAPP.EXEアプリケーションが実行中かどうかを確認し、該当するプロセスが見つからない場合、しばらく待機した後で再チェックを行います。

RNAAPP.EXEは、Windows 9x上でダイアルアップ接続中は常に動作しています。このアプリケーションが読み込まれると、ウィルスは日本ドメインのウィルス作者のWebサイトに接続しようとします。

最初に、トロイの木馬はvirus.txtというテキストファイルをダウンロードします。そのテキストファイルには、幾つかのファイル名が列記されています。現時点では、このファイルにはdropper.dat、reetz.dat、ircworm.dat、poll.datの計4つのファイル名が含まれていることが確認されています。これらのファイル名は、ヘッダがVMODで始まる特殊なファイル形式を使用しているようです。VMODは、「ウィルスモジュール」を表しています。ウィルスモジュールのヘッダには、モジュールのエントリポイントが含まれています。トロイの木馬はこれらのファイルをダウンロードし、ウィルスプロセス内部で1つずつ実行します。

このようにして、トロイの木馬は既に感染しているシステムにさらに付加機能を持ち込むことができます。システムからウィルスを駆除しても、トロイの木馬が活動中であれば、ウィルスコードが再び持ち込まれることになります。これは、ウィルスモジュールが17KBのアプリケーション(INSTALAR.EXE)を作成して実行するためです。このファイルはウィルスに感染していますが、最終的には削除されます。

greetz.datモジュールは、1月になるとc:\autoexec.bat fileを改変します。この処理が行われたc:\autoexec.batファイルには、感染した印の一部として次のテキストが含まれています。

W95/Babylonia by Vecna (c) 1999

ircworm.datは、MIRCワームのインストーラとして動作するようです。このワームは、ユーザが接続しているMIRCチャンネルに参加しているユーザ全員に対し、2kBug-MircFix.EXEと2kbugfix.iniという2つのファイルを送りつけるようです。

virus.txt内の最後のモジュールは、下記のWebサイトにメッセージを送信します。

babylonia_counter@hotmail.com

メッセージの内容：

Quando o mestre chegara?

この情報は、W95.Babyloniaに感染したコンピュータ台数を把握するために、このウィルスの作成者により使用されていると思われます。

感染した.EXE、.HLPファイル

W95.Babyloniaはファイルシステムを自分自身にフックし、拡張子が.EXEと.HLPのファイルを調べ、アクセスされたファイル全てに感染します。Windows.HLPファイルや32ビットPE形式の.EXEファイルに感染した場合、そのファイルから全てのウィルス機能を別のシステムに増殖することが可能になります。

このウィルスは感染の際、（PEファイルのエントリポイントを変更するのではなく）挿入手法を使用します。これは、ウィルスを比較的容易に発見可能なヒューリスティック解析技術による検出から逃れる目的によるものだと思われます。ウィルスの本体は感染ファイルの末尾に付加されます。

ウィルスがメモリに常駐している間は、それをシステムから駆除することは困難です。この感染メカニズムは、W95.CIHウィルスとよく似ています。

WSOCK32.DLLの改変

W95.Babyloniaのもう1つの大きな特徴は、WSOCK32.DLLを改変することができるという点です（ファイルがメモリに読み込まれていない時のみ）。このウィルスは、Happy99.Worm（別名W32.SKA.A）と同様に、WSOCK32.DLLの送信APIに非常に短いフックルーチンを追加します。この短いフックルーチンは、電子メールが送信されるときにウィルスコードの活動中の部分に制御を渡します。その後、送信される電子メール全てに、自分自身をMIMEエンコードされたファイルとして添付することにより、感染を急速に拡大させます。W95.Babyloniaはウィルスですが、この点ではワームとも言えます。

添付ファイルには、次のいずれかのファイル名が使用されます。

• I-WATCH-U.EXE
  
• BABILONIA.EXE
  
• X-MAS.EXE
  
• SURPRISE!.EXE
  
• JESUS.EXE
  
• BUHH.EXE
  
• CHOCOLATE.EXE
  

この部分の処理コードにはバグがあるらしく、実際に使用されるファイル名はX-MAS.EXEのみです。このファイルは、ウィルスモジュールの1つにより作成されるINSTALAR.EXEと同一らしく、サンタクローズ画像（下図参照）アイコンで示されます。

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

感染の疑いがある場合には、LiveUpdateを実行するか、あるいはSymantec Security Response のホームページから最新のウイルス定義ファイルをダウンロードしてください。

• LiveUpdateを使ってウイルス定義ファイルを更新する方法については、こちらをクリックしてください。
  
• Symantec Security Response のホームページから手動でダウンロード、インストールするには、こちらをクリックしてください。