GUSANO

W32/HYBRIS

Nuevos Virus

Enciclopedia

Noticias

Top Virus

Anti-Virus

Alias: IWorm_Hybris, I-Worm.Hybris 

Hybris es un gusano de Internet que se distribuye como un archivo adjunto en los mensajes de correo. El gusano sólo funciona en sistemas Win32. Contiene componentes dentro de su código que se ejecutan dependiendo de lo que el gusano vaya necesitando; dichos componentes los descarga de una web de Internet. Las versiones superiores del gusano están codificadas con encriptación semi-polimórfica. 

El gusano incluye las palabras: HYBRIS (C) Vecna

El principal objetivo del gusano es la librería WSOCK32.DLL. El proceso de infección de este archivo es el siguiente:

1º Se escribe a sí mismo al final de la última sección del archivo
2º Engancha las funciones "connect", "recv" y "send"
3º Modifica la dirección de la rutina de entrada DLL (es una rutina que se activa cuando se carga el archivo DLL) y encripta la rutina de entrada original.

Si el gusano no puede infectar WSOCK32.DLL porque esté siendo utilizado o porque esté protegido contra escritura, entonces crea una copia de esa liberaría con un nombre aleatorio, lo infecta y escribe unas instrucciones en el archivo WININIT.INI para renombrarlo. El resultado final es que la próxima vez que se reinicie Windows, el archivo WSOCK32.DLL será sustituido con una imagen infectada. 

El gusano también crea su copia con un nombre aleatorio en el directorio del sistema Windows y lo registra del siguiente modo:

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce{Default} = %WinSystem%\WormName

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce {Default} = %WinSystem%\WormName

donde %WinSystem% es el directorio del sistema Windows y "WormName" es un nombre aleatorio, por ejemplo: CCMBOIFM.EXE, LPHBNGAE.EXE o LFPCMOIF.EXE.

Sólo hay una razón posible para registrar la copia adicional del gusano en el registro "RunOnce": en caso de que WSOCK32.DLL no se infecte la primera vez que se ejecute el gusano y su copia infectada no se cree por alguna otra razón, la copia del gusano en "RunOnce" completará la tarea la próxima vez que se reinicie Windows.

Cuando la copia infectada de WSOCK32.DLL está activa, el gusano interviene la función de Windows que establece la conexión de red, incluyendo Internet. El gusano intercepta los datos que son enviados y recibidos y también los escanea para conseguir las direcciones de correo. 

El funcionamiento del gusano depende de los componentes almacenados en el cuerpo del gusano encriptado con un algoritmo de encriptación fuerte semejante a RSA de 128 bits. Hay hasta 32 componentes distintos que se pueden encontrar en las diferentes versiones del gusano. Cada uno de ellos lleva a cabo acciones diferentes y se pueden actualizar en VietMedia.com de modo que las funciones completas del gusano solo dependen de si el host puede actualizar todos los componentes. Éstos también están encriptados en la página web con un algoritmo semejante a RSA.

Otra forma de actualizar los componentes es a través del grupo de noticias alt.comp.virus. Cuando el gusano está activo en un equipo, se conecta con el servidor de noticias utilizando un servidor seleccionado al azar, convierte sus componentes en mensajes de grupo de noticias y los envía desde ahí. Los mensajes enviados por el gusano tienen referencias aleatorias, por ejemplo:

encr HVGT FTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
text RFRE rebibmTCDOzGbCjSZ
donde los cuatro primeros caracteres son el nombre del componente y los cuatro siguientes son la versión del componente codificado. Además de enviar los mensajes, el gusano los lee en alt.comp.virus, obtiene el nombre y la versión del componente y lo compara con los del componente que está utilizando en ese momento. En caso de que el grupo de noticias tenga un mensaje con una versión superior, el gusano lo extrae y sustituye el actual.

Por otro lado, el gusano crea los siguientes componentes como archivos de disco en el directorio del sistema de Windows. Tienen nombres aleatorios: BIBGAHNH.IBG, DACMAPKO.ACM, GAFIBPFM.AFI, IMALADOL.MAL, MALADOLI.ALA.

Existen varios componentes conocidos que realizan lo siguiente:

1. Infectan todos los archivos ZIP y RAR en todas las unidades disponibles, desde C: hasta Z:. Durante el proceso de infección, renombra los archivos EXE como EX$ y añade su copia en el archivo con la extensión EXE.

2. Envían mensajes con componentes codificados al grupo de noticias alt.comp.virus y obtienen nuevos componentes de ahí.

3. Difunden el virus en equipos remotos que tengan instalado el troyano backdoor SubSeven. El componentes localiza estos equipos en la red y utilizando los comandos SubSeven, carga una copia del gusano en el equipo.

4. Encriptan las copias del gusano utilizando encriptación polimórfica antes de enviar la copia del archivo adjunto.

5. Aleatoriamente eligen una referencia para el mensaje, un texto y un nombre del archivo adjunto a la vez que envían copias del gusano con mensajes de correo electrónico.

From: Hahaha <hahaha@sexyfun.net>
Subjects: Snowhite and the Seven Dwarfs - The REAL story!
Blanca de Neve Pornô!
Enanito Si, pero con que pedazo!
Les 7 coquir nains
Textos de mensajes:

C'etait un jour avant son dix huitienme anniversaire. Les 7 nains, qui avaient aidé 'blanche neige' toutes ces années après qu'elle se soit enfuit de chez sa belle mère, lui avaient promis une * grosse * surprise. A 5 heures comme toujours, ils sont rentrés du travail. Mais cette fois ils avaient un air coquin....

Today, Snowhite was turning 18. The 7 Dwarfs always where very educated and polite with Snowhite. When they go out work at morning, they promissed a * huge * surprise. Snowhite was anxious. Suddently, the door open, and the Seven Dwarfs enter....
Faltaba apenas un día para su aniversario de 18 años. Blanca de Nieve fuera siempre muy bien cuidada por los enanitos. Ellos le prometieron una * grande * sorpresa para su fiesta de cumpleaños. al entardecer, llegaron. Tenían un brillo incomun en los ojos....

Faltava apenas um dia para o seu aniversario de 18 anos. Branca de Neve estava muito feliz e ansiosa, porque os 7 anöes prometeram uma * grande * surpresa. As cinco horas, os anöezinhos voltaram do trabalho. Mas algo nao estava bem... Os sete anöezinhos tinham um estranho brilho no olhar...

Nombres de los archivos adjuntos:

enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exe

sexy virgin.scr
joke.exe
midgts.scr
dwarf4you.exe

blancheneige.exe
sexynain.scr
blanche.scr
nains.exe

branca de neve.scr
atchim.exe
dunga.sc
anäo pornö.scr
Dependiendo de la versión del componente, la referencia del mensaje puede ser una combinación de lo siguiente:

Anna sex
Raquel Darian sexy
Xena hot
Xuxa + hottest
Suzete cum
famous cumshot
clebrity rape horny
leather ....etc.

Los nombres de los archivos adjuntos son:

Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
clebrity rape.exe
leather.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-f*cking.exe
amateurs.exe
Se recomienda tener mucho cuidado con los archivos adjuntos que se reciban, no importa de dónde procedan ni lo inocente que parezca el mensaje.


Copyright © VIRUSPROT.COM