Email-Worm.Win32.Hybris

Jest to robak internetowy, rozprzestrzeniaj膮cy si臋 poprzez wiadomo艣ci e-mail. Dzia艂a tylko w systemach Win32. Wirus sk艂ada si臋 z komponent贸w (plugin贸w), uruchamianych w zale偶no艣ci od potrzeb. Szkodnik mo偶e uaktualnia膰 si臋 poprzez Internet.

Uruchomienie robaka

G艂贸wnym celem robaka jest biblioteka WSOCK32.DLL. Podczas infekowania wirus:

  • dopisuje si臋 do ostatniej sekcji pliku;
  • przejmuje funkcje connect, recv oraz send;
  • modyfikuje adres procedury wej艣ciowej (aktywowanej gdy 艂adowany jest plik DLL) i szyfruje oryginaln膮 procedur臋.

Je艣li robak nie mo偶e zainfekowa膰 pliku WSOCK32.DLL (np.: biblioteka jest w u偶yciu lub plik jest zablokowany do zapisu), tworzy jego kopi臋 z losow膮 nazw膮 i dodaje do pliku WIN.INI funkcj臋 zmieniaj膮c膮 nazw臋 kopii na WSOCK32.DLL.

Dodatkowo robak tworzy swoj膮 kopi臋 w systemowym katalogu Windows i rejestruje j膮 w poni偶szych kluczach:

HKEY_LOCAL_MACHINESoftwareMicrosoftWindows
CurrentVersionRunOnce
{Default} = %WinSystem%NazwaRobaka

lub

HKEY_CURRENT_USERSoftwareMicrosoftWindows
CurrentVersionRunOnce
{Default} = %WinSystem% NazwaRobaka

gdzie %WinSystem% jest nazw膮 katalogu systemowego Windows, natomiast "NazwaRobaka" to losowo generowana nazwa kopii wirusa, przyk艂adowo:

CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE

Zainfekowany plik WSOCK32.DLL

Robak przejmuje funkcj臋 systemu Windows odpowiedzialn膮 za nawi膮zywanie po艂膮cze艅 sieciowych, w艂膮cznie z Internetem. Wirus przechwytuje dane, kt贸re s膮 odbierane i szuka w nich adres贸w e-mail. Gdy adres zostanie wykryty robak wysy艂a pod niego zainfekowan膮 wiadomo艣膰.

Komponenty robaka (pluginy)

Funkcjonalno艣膰 robaka zale偶y od przechowywanych w jego kodzie komponent贸w. W r贸偶nych wersjach wirusa znaleziono do 32 r贸偶nych plugin贸w. Maj膮 one r贸偶ne przeznaczenie i mog膮 by膰 uaktualniane ze strony WWW.

Ponadto robak uaktualnia swoje komponenty przy u偶yciu listy dyskusyjnej alt.comp.virus. Wirus 艂膮czy si臋 z serwerem (korzystaj膮c z listy zawieraj膮cej ponad 70 adres贸w), konwertuje swoje pluginy do postaci wiadomo艣ci i wysy艂a je. Wiadomo艣ci wygl膮daj膮 na losowe, przyk艂adowo:

encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
text RFRE rebibmTCDOzGbCjSZ

podczas gdy pierwsze cztery znaki to nazwa komponentu, natomiast reszta ci膮gu jest zaszyfrowanym numerem jego wersji.

Istniej膮 r贸偶ne typy plugin贸w robaka. Oto ich funckje:

  • Infekowanie wszystkich archiw贸w ZIP oraz EXE, zapisanych na dyskach od C: do Z:
  • Wysy艂anie wiadomo艣ci z zakodowanymi pluginami do listy dyskusyjnej alt.comp.virus i pobieranie z niej nowych komponent贸w
  • Rozprzestrzenianie wirusa na zdalnych maszynach, posiadaj膮cych zainstalowanego trojana SubSeven
  • Szyfrowanie kopii robaka przy u偶yciu p臋tli polimorficznej, przed wys艂aniem wraz z wiadomo艣ci膮 e-mail
  • Losowe wybieranie temat贸w, tre艣ci i nazw za艂膮cznik贸w z nast臋puj膮cych mo偶liwo艣ci:
      <>
    • Od: Hahaha hahaha@sexyfun.net

    • Tematy:
      Snowhite and the Seven Dwarfs - The REAL story!
      Branca de Neve porn么! 
      Enanito si, pero con que pedazo! 
      Les 7 coquir nains
    • Tre艣ci wiadomo艣ci:
      C'etait un jour avant son dix huitieme anniversaire. Les 7 nains, qui avaient
      aid茅 'blanche neige' toutes ces ann茅es apr膷s qu'elle se soit enfuit de chez
      sa belle m膷re, lui avaient promis une *grosse* surprise. A 5 heures comme
      toujours, ils sont rentr茅s du travail. Mais cette fois ils avaient un air
      coquin...
      
      Today, Snowhite was turning 18. The 7 Dwarfs always where very educated and
      polite with Snowhite. When they go out work at mornign, they promissed a
      *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven
      Dwarfs enter...
      
      Faltaba apenas un dia para su aniversario de de 18 a艅os. Blanca de Nieve fuera
      siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande*
      sorpresa para su fiesta de complea艅os. Al entardecer, llegaron. Tenian un brillo
      incomun en los ojos...
      
      Faltava apenas um dia para o seu aniversario de 18 anos. Branca de Neve estava
      muito feliz e ansiosa, porque os 7 an艖es prometeram uma *grande* surpresa.
      As cinco horas, os an艖ezinhos voltaram do trabalho. Mas algo nao estava
      bem... Os sete an艖ezinhos tinham um estranho brilho no olhar...
    • Nazwy za艂膮cznik贸w:

      • enano.exe
      • enano porno.exe
      • blanca de nieve.scr
      • enanito fisgon.exe
      • sexy virgin.scr
      • joke.exe
      • midgets.scr
      • dwarf4you.exe
      • blancheneige.exe
      • sexynain.scr
      • blanche.scr
      • nains.exe
      • branca de neve.scr
      • atchim.exe
      • dunga.scr
      • an膬o porn么.scr

W zale偶no艣ci od wersji komponentu, temat wiadomo艣ci mo偶e by膰 kombinacj膮 poni偶szych mo偶liwo艣ci:

Anna, Raquel Darian, sexy, Xena, hot, Xuxa, hottest, Suzete, 
cum, famous, cumshot, celebrity, rape, horny, leather

Nazwa za艂膮cznika:

Anna.exe, Raquel Darian.exe, Xena.exe, Xuxa.exe, Suzete.exe, famous.exe, celebrity rape.exe, leather.exe, sex.exe, sexy.exe, hot.exe, hottest.exe, cum.exe, cumshot.exe, horny.exe, anal.exe, gay.exe, oral.exe, pleasure.exe, asian.exe, lesbians.exe, teens.exe, virgins.exe, boys.exe, girls.exe, SM.exe, sado.exe, cheerleader.exe, orgy.exe, black.exe, blonde.exe, sodomized.exe, hardcore.exe, slut.exe, doggy.exe, suck.exe, messy.exe, kinky.exe, fist-fucking.exe, amateurs.exe