| Nombre: |
W32/Hybris |
| Alias: |
I-Worm/Hybris,
W32/Hybris.gen@M, W32/Hybris.A-m, W32/Hybris.B-m, W32/Hybris.D-m,W32/HYBRIS.J |
| Categorías
del virus: |
Gusano de Windows |
| ¿Reparable?: |
Si |
| Fecha
de aparición: |
16/10/2000 |
| Nivel
de Riesgo (0-5): |
4 |
| Nivel
de Distribución (0-5): |
5 |
| Nivel
de Daños (0-5): |
2 |
Descripción
breve:
W32/Hybris es un gusano de Windows que se envía a sí mismo,
incluido en un mensaje de correo electrónico. Uno de sus objetivos
es parchear la biblioteca WSOCK32.DLL.
El objeto de esta operación es monitorizar la salida correspondiente
al correo electrónico. Este gusano tiene la capacidad de actualizarse
a sí mismo mediante 'plugins' que pueden ser actualizados desde
Internet. En concreto, puede contener hasta 32 plugins. Estos plugins se
encuentran encriptados mediante un algoritmo con clave de 128 bit cuyo
algoritmo es parecido al RSA. Estos plugins dotan al gusano de la capacidad
de realizar un gran número de acciones en los sistemas afectados.
Por otra parte, es interesante destacar que algunas copias de este gusano
están encriptadas mediante una sencilla rutina semi-polimórfica.
Este gusano fue creado por Vecna en Brasil.
Modo de propagación:
Tras haber infectado un determinado equipo, el gusano intenta infectar
otros ordenadores, propagándose mediante un mensaje de correo electrónico.
En concreto, cada vez que se envía un mensaje por correo electrónico
el gusano enviará otro mensaje de correo al mismo usuario una vez
transcurrido un período de tiempo. Este mensaje contendrá
un texto y una copia del gusano. El contenido del mensaje podrá
variar en función del idioma instalado como podemos ver a continuación:
1.-
Contenido en Inglés:
Remitente: Hahaha
< hahaha@sexyfun.net >
Asunto: Snowhite
and the Seven Dwarfs - The REAL story!
Cuerpo: Today,
Snowhite was turning 18. The 7 Dwarfs always where very educated and polite
with Snowhite. When they go out work at mornign, they promissed a *huge*
surprise. Snowhite was anxious. Suddlently, the door open, and the Seven
Dwarfs enter...
Nombre del fichero adjunto:
sexy virgin.scr, joke.exe, midgets.scr, dwarf4you.exe
2.-
Contenido en Francés:
Remitente: Hahaha
< hahaha@sexyfun.net >
Asunto: Les
7 coquir nains
Cuerpo: C'etait
un jour avant son dix huitieme anniversaire. Les 7 nains, qui avaient aidé
'blanche neige' toutes ces années après qu'elle se soit enfuit
de chez sa belle mère, lui avaient promis une *grosse* surprise.
A 5 heures comme toujours, ils sont rentrés du travail. Mais cette
fois ils avaient un air coquin...
Nombre del fichero adjunto:
blancheneige.exe, sexynain.scr, blanche.scr, nains.exe
3.-
Contenido en Portugués:
Remitente: Hahaha
< hahaha@sexyfun.net >
Asunto: Branca
de Neve pornô!
Cuerpo: Faltava
apenas um dia para o seu aniversario de 18 anos. Branca de Neve estava
muito feliz e ansiosa, porque os 7 anões prometeram uma *grande*
surpresa. As cinco horas, os anõezinhos voltaram do trabalho. Mas
algo nao estava bem... Os sete anõezinhos tinham um estranho brilho
no olhar...
Nombre del fichero adjunto:
branca de neve.scr, atchim.exe, dunga.scr, anão
pornô.scr
4.-
Contenido en Castellano:
Remitente: Hahaha
< hahaha@sexyfun.net >
Asunto: Enanito
si, pero con que pedazo!
Cuerpo: Faltaba
apenas un dia para su aniversario de 18 años. Blanca de Nieve fuera
siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande*
sorpresa para su fiesta de compleaños. Al entardecer, llegaron.
Tenian un brillo incomun en los ojos...
Nombre del fichero adjunto:
enano.exe, enano porno.exe, blanca de nieve.scr,
enanito fisgon.exe
Síntomas
de infección:
El primer síntoma de la aparición del gusano en nuestro equipo,
es la llegada del mensaje de correo electrónico, anteriormente mencionado.
No obstante, esto no implica que se haya producido la infección.
Además, crea un fichero llamado WININIT.INI
en el directorio de Windows. Dicho fichero será ejecutado la próxima
vez que se inicie Windows. Con la ayuda de éste, renombra la librería
WSOCK32.DLL, que previamente había
infectado.
Métodos
de infección:
El modo de funcionamiento de este gusano es el siguiente:
-
El gusano intenta infectar el
fichero WSOCK32.DLL (biblioteca de
enlace dinámico encargada de dar soporte al sistema de "sockets",
o conectores de Windows) en el directorio de sistema de Windows. Si este
fichero no puede ser infectado directamente por encontrarse en uso, el
gusano copiará el fichero WSOCK32.DLL
en el directorio de sistema de Windows con un nombre aleatorio de ocho
caracteres y sin extensión, y a continuación procede a infectarlo.
-
Crea un fichero denominado WININIT.INI
en el directorio de Windows. Éste será ejecutado en el próximo
inicio de Windows. Gracias a la utilización de dicho fichero, consigue
cambiar el nombre a la librería WSOCK32.DLL.
Ésta habrá sido infectada por el gusano con anterioridad.
El contenido del fichero WININIT.INI
recién creado es el siguiente:
[Rename]
C:\WINDOWS\SYSTEM\WSOCK32.DLL=
C:\WINDOWS\ SYSTEM\< nombre aleatorio de 8 caracteres sin extensión
>
-
La infección consiste
en copiar el código del gusano sin encriptar, tras el contenido
de la biblioteca WSOCK32.DLL. Además
parchea varias de las funciones que ésta contiene para que llamen
al código del gusano. Las funciones enganchadas son "connect", "send"
y "recv". Éstas se emplean para conectarse y para enviar y recibir
datos. De este modo el gusano monitoriza el correo electrónico saliente
de la máquina infectada. El gusano intercepta todos los datos enviados
o recibidos a través de las funciones de acceso a redes y si detecta
en el flujo de datos una dirección de correo electrónico
procede a enviar un mensaje infectado al mismo destinatario una vez transcurrido
intervalo de tiempo. Por otra parte, modifica la rutina del punto de entrada
a la WSOCK32.DLL.
-
Este gusano contiene código
para introducir una entrada en el Registro de Windows con el fin de poder
ser ejecutado cuando se reinicia Windows. La entrada puede localizarse
en cualquiera de estas dos claves:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\ CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\Windows\ CurrentVersion\RunOnce
Éstas hacen referencia
al fichero de nombre aleatorio ubicado en el directorio de sistema de Windows
que se creó con anterioridad.
Uno de los plugin que permiten la actualización de este gusano es
capaz de buscar ficheros con extensión EXE dentro de archivos comprimidos
con extensión ZIP y RAR. En caso de encontrar algún fichero
de este tipo, el gusano sustituye el fichero original por una copia de
sí mismo, renombrando el fichero original con la siguiente extensión:
*.ex$.
Existe otro plugin que actúa a modo de payload. Éste se activa
el día 24 de septiembre o bien en el año 2.001, cuando los
minutos del reloj interno del sistema coincidan con el siguiente valor:
59. En este caso, el gusano muestra imagen en el escritorio del equipo
consistente en una espiral animada.
Por otra parte, otro de los plugin le permite instalarse en máquinas
atacadas por el troyano de tipo Backdoor Subseven.
El gusano se vale de otro plugin para infectar ficheros con extensión
EXE de Windows PE. Para realizar esta acción se añade a la
sección de código y se calcula el CRC correcto.
Adicionalmente, existen plugins para modificar el texto del asunto utilizando
para ello una combinación de los siguientes nombres: Anna,
Raquel Darian, Xena, Xuxa, Suzete, famous, celebrity rape, leather, sex,
sexy, hot, hottest, cum, cumshot, horny así como para modificar
el nombre del archivo adjunto enviado. Para hacer esto el gusano utilizará
la siguiente lista de nombres:
ANNA.EXE,
RAQUEL DARIAN.EXE, XENA.EXE, XUXA.EXE, SUZETE.EXE, FAMOUS.EXE, CELEBRITY
RAPE.EXE, LEATHER.EXE, SEX.EXE, SEXY.EXE, HOT.EXE, HOTTEST.EXE, CUM.EXE,
CUMSHOT.EXE, HORNY.EXE, ANAL.EXE, GAY.EXE, ORAL.EXE, PLEASURE.EXE, ASIAN.EXE,
LESBIANS.EXE, TEENS.EXE, VIRGINS.EXE, BOYS.EXE, GIRLS.EXE, SM.EXE, SADO.EXE,
CHEERLEADER.EXE, ORGY.EXE, BLACK.EXE, BLONDE.EXE, SODOMIZED.EXE, HARDCORE.EXE,
SLUT.EXE, DOGGY.EXE, SUCK.EXE, MESSY.EXE, KINKY.EXE, FIST-FUCKING.EXE,
AMATEURS.EXE.
Todos estos plugins son actualizables. Hasta el momento se conocen dos
métodos de actualización. Por un lado, la actualización
es posible mediante el acceso a una página de Internet desde la
que el gusano descarga los plugins. Por otro lado, también es posible
la actualización mediante una conexión con grupo de noticias
alt.comp.virus. En este caso, el gusano es capaz de enviar sus plugins
con el fin de actualizar los que tiene con otros nuevos. Para hacer esto,
comprueba los números de identificador y el número de la
versión incluidos en la cabecera de cada uno de ellos. De este modo
el gusano puede averiguar los plugins que necesita instalar.
Cómo reparar
los efectos producidos:
Para realizar una correcta desinfección del virus es necesario seguir
lo siguientes pasos:
-
Descargue el fichero PAVCL.ZIP
(1'4Mb.), pulsando sobre uno de los enlaces que se muestran
a continuación:
Web de Panda: www.pandasoftware.es/enciclopedia/pavcl-hyb.zip
R.e I.C.A.Z.: PAVCL.Zip
-
Copie el fichero en el Escritorio
de Windows.
-
Descomprima el fichero PAVCL.ZIP
en una carpeta (directorio) de la unidad C: (disco duro) y asigne un nombre
a este directorio. Por ejemplo, podría llamarlo Panda.
-
Para crear la carpeta Panda
siga los siguiente pasos:
-
Abra la ventana del explorador
de Windows.
-
Seleccione la unidad C:
-
Colóquese en el panel
derecho de la ventana.
-
Pulse el botón derecho
del ratón.
-
Seleccione la opción
Nuevo.
-
Seleccione la opción
Carpeta.
-
Reinicie el equipo en modo MS-DOS.
Para ello pulse el botón Inicio y seleccione
las opciones Apagar el sistema - Reiniciar en modo
MS-DOS.
-
Una vez que el equipo se haya
reiniciado, teclee CD.. y pulse Intro.
-
Teclee CD
PANDA (en el caso de que éste sea el nombre de la carpeta
que ha creado anteriormente) y pulse Intro.
-
Teclee PAVCL
/ALL /AEX /CLV y pulse Intro.
Una vez realizados estos pasos comenzará el análisis. Durante
este proceso, el antivirus detectará el fichero infectado WSOCK32.DLL.
Cuando el antivirus haya detectado este fichero elija la opción
Desinfectar. De esta forma, su equipo quedará
libre de virus.
|
