|
Esta es la tercera variante del peligroso gusano Hybris, pero tiene una más compleja técnica de programación y de funcionabilidad, que la de su predecesor, ya que su código viral contiene dos diferentes encriptamientos de 128 bits. Al igual que sus versiones anteriores se propaga anexándose a mensajes de correo en sistemas operativos MS Windows de 32 bits. Cuando el receptor ejecuta el archivo anexado, infecta inmediatamente al sistema.
Para difundirse infecta la librería WSOCK32.DLL y también intercepta las funciones de MS Windows que establecen las conexiones de red, incluyendo Internet. Inmediatamente después, desde el sistema infectado, envía una copia de sí mismo en otro mensaje separado, a cada destinatario, pero con diferente nombre del remitente. Un componente común del gusano comprueba la configuración del lenguaje instalado en la computadora que ha infectado y elige un mensaje de acuerdo a estos idiomas:
Inglés:
From: Hahaha hahaha@sexyfun.net
Subject: Snowhite and the seven Dwarfs - The REAL Story!
Attachment: dwarf4you.exe
Message text:
polite with Snowhite. When they go out work at mornign, they promissed a
*huge* surprise. Snowhite was anxious. Suddlently, the door open, and the
Seven Dwarfs enter...
Francés:
Subject: aidé 'blanche neige' toutes ces années après qu'elle se soit enfuit de chez
Message text:
sa belle mère, lui avaient promis une *grosse* surprise. A 5 heures comme
toujours, ils sont rentrés du travail. Mais cette fois ils avaient un air
coquin...
Portugués:
Subject: muito feliz e ansiosa, porque os 7 anões prometeram uma *grande* surpresa.
Message text:
As cinco horas, os anõezinhos voltaram do trabalho. Mas algo nao estava
bem... Os sete anõezinhos tinham um estranho brilho no olhar...
Español:
Subject: siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande*
Message text:
sorpresa para su fiesta de compleaños. Al entardecer, llegaron. Tenian un
brillo incomun en los ojos...
Su código contiene componentes o "plug-ins" que son ejecutados en forma variable, de acuerdo a los requerimientos del virus, los mismos que pueden ser actualizados desde un sitio web en Internet. Las principales versiones del gusano Hybris están encriptadas con un "loop" esta vez polimórfico y mantiene la siguiente cadena de texto:
HYBRIS
(c) Vecna
Vecna, el supuesto autor pertenece a un grupo brasilero de desarrolladores de virus cuyo sitio web es:
Accionar del gusano
Su principal objetivo es el WSOCK32.DLL y mientras infecta este archivo el virus procede a realizar las siguientes acciones:
Si no puede infectar el WSOCK32.DLL, en caso de que este archivo se encuentre en uso y esté bloqueado contra escritura, el virus crea una copia de esta librería con un nombre aleatorio, lo infecta y escribe una instrucción de "rename" al archivo Wininit.ini. Como resultado, el WSOCK32.DLL será reemplazado con una imágen infectada, la próxima vez que se inicie Windows.
El gusano también crea su copia con un nombre aleatorio en el directorio del Windows\System y la agrega en la llave de registro RunOnce:
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce]
{Default} = %WinSystem%\WormName
o de la siguiente forma:
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce]
{Default} = %WinSystem%\WormName
donde %WinSystem% es el directorio del Windows System, y el "WormName" es un nombre aleatorio, como por ejemplo:
CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE
La funcionabilidad de Hybris depende de los plug-ins que son almacenados en el cuerpo del gusano, en forma encriptada con un algoritmo de llave de 128 bits similar a la tecnología de encriptamiento RSA. Existen hasta 32 plug-ins que pueden ser hallados en diferentes versiones del gusano y que ejecutan diferentes acciones, las mismas que pueden ser actualizadas desde un sitio web:
http://pleiku.vietmedia.com/bye/
de tal modo que para completar su funcionabilidad el gusano tan solo depende de que su receptor tenga la capacidad de actualizar plug-ins en una página web. Los plug-ins en una página también son encriptados con la modalidad RSA.
El gusano también actualiza sus plug-ins usando al grupo de discusión alt.comp.virus. Una vez activo en un sistema se conecta a un servidor de noticias, usando aleatoriamente entre más de 70 servidores seleccionados en su lista, convierte sus plug-ins a los mensajes de los grupos de noticias y los coloca allí. Los mensajes del gusano Hybris contienen un tema (Subject) aleatorio, como por ejemplo:
encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
text RFRE rebibmTCDOzGbCjSZ
Cuando las primeras 4 tareas son el plugin "name" las siguientes 4 tareas se encuentran en un plugin de "version" codificado, de tal modo que en el acto de envío, el gusano lee tales mensajes desde alt.comp.virus, obtiene los plugins "name" y "version" y los compara con los plugins que están siendo usados actualmente por el gusano. En caso que el grupo de discusión o noticias tenga un mensaje con una versión mas avanzada de plugin, Hybris la extrae y reemplaza la existente, de tal modo que el gusano usa alt.comp.virus para actualizar sus plugins.
Este gusano también crea estos plug-ins como archivos de disco en el directorio de Windows System. Estos también tienen un nombre aleatorio, tales como:
BIBGAHNH.IBG
DACMAPKO.ACM
GAFIBPFM.AFI
IMALADOL.MAL
MALADOLI.ALA
Existen varios "plug-ins" conocidos que ejecutan las siguientes acciones:
1. Infecta los archivos .ZIP y .RAR en todas las unidades de disco disponibles. Al momento de la infección, el gusano renombra los archivos .EXE con la extensión .EX$ y agrega su copia infectada con una extensión .EXE, bajo el método de infección Companion.
2. Envía mensajes con plug-ins codificados a los grupos de noticias "alt.comp.virus", y obtiene nuevos plug-ins de ese grupo.
3. Esparce el virus a equipos remotos que tienen instalado el troyano de Control Remoto SubSeven. El plug-in detecta tales equipos en la Red y usando los comandos SubSeven, envía una copia del gusano a ese equipo y lo esparce allí y a sus estaciones conectadas en red.
4. El gusano encriptado se copia con una encriptación polimórfica, bajo una instrucción repetitiva (loop), antes de enviar la copia anexada a un mensaje de correo.
Nombres anexados (attached):
enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exesexy virgin.scr
joke.exe
midgets.scr
dwarf4you.exeblancheneige.exe
sexynain.scr
blanche.scr
nains.exebranca de neve.scr
atchim.exe
dunga.scr
anóo porn¯.scr
Así como también, dependiendo de la versión del plug-in:
El Tema del mensaje es una combinación aleatoria de:
Anna + sex Raquel Darian sexy Xena hot Xuxa hottest Suzete cum famous cumshot celebrity rape horny leather ... e.t.c.
Nombres anexados:
Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
celebrity rape.exe
leather.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-fucking.exe
amateurs.exe
La principal peculiaridad de este gusano, consiste en que mantiene la funcionabilidad de los plug-ins, envía sus propios componentes a la conferencia de antivirus "alt.comp.virus" y descarga de ese servidor cualquier plug-in faltante o actualizado. Los componentes del virus también pueden ser actualizados por el propio gusano, desde la página web del autor, via Internet, en tiempo real.
PER ANTIVIRUS® versión 6.6, con registro de virus al 05 de Enero del 2001 detecta y elimina eficientemente este gusano, además de reconstruir la librería WSOCK32.DLL.
