Virus 版 (精华区)

发信人: mylife (小鬼), 信区: Virus
标  题: Worm.Hybris 　
发信站: 哈工大紫丁香 (2001年06月01日10:43:52 星期五), 站内信件

病毒分类   网络  病毒名称   Worm.Hybris 　
别    名   Hybris, I-Worm.Hybris , TROJ_HYBRIS.A, W32/Hybris.gen.dll@M, W32/
Hybris.gen@M, W32/Hybris.plugin@M 　 病毒长度   0字节
危害程度   重  传播途径   邮件及网络 　
传播程度   广  感    染   文件 　
病毒发作
该病毒给每一个邮件系统中的人发送一个包含“随机名.exe ”的邮件，此文件一旦运行
，会感染系统目录下的Wsock32.dll文件，如此循环。
这是一只可以通过EMAIL接收的网络蠕虫，它只运行在WIN32系统下。蠕虫的代码中包含
插件，这些插件是执行蠕虫所依靠的，并且可以从一个Internet网站上下载，很可能该
站点就是病毒作者的站点。该蠕虫的主要版本采用了半—多态加密技术。这种下载加密
组件的方式与第一次使用该方法的W95/Babylonia病毒相似。
蠕虫包含下列加密的文本串：
  HYBRIS
 (c) Vecna
    蠕虫的主要感染目标是WSOCK32.DLL动态链接库。在感染链接库的同时，它还将自身
写入文件最后部分的结尾（附着了"connect", "recv", "send"功能）；修改动态链接库
的入口地址并对原入口地址进行加密。
    如果蠕虫启动时不能感染WSOCK32.DLL（一旦该文件正被使用或被进行写锁定），该
蠕虫将创建WSOCK32.DLL的副本（该文件的文件名由8个随机字母组成）感染它并将"ren
ame" 指令写入WININIT.INI文件中。那么WSOCK32.DLL将在系统下次启动时被替换。
    蠕虫同样在Windows system目录下以随机文件名创建其自身的副本，并在注册表中
添加下列注册键：
    HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
   {Default} = %WinSystem%\WormName
或
 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
  {Default} = %WinSystem%\WormName
其中"WormName" 是随机文件名, 例如:
 CCMBOIFM.EXE
 LPHBNGAE.EXE
 LFPCMOIF.EXE
    当蠕虫处于激活状态时，它将截获Windows 用于建立网络连接的函数，包括Intern
et连接。蠕虫截获发送和
接收的数据并扫描其email地址，一旦地址被检查到，蠕虫将等待一段时间然后将一个染
毒的消息（扩展名为.EXE或 .SCR）发送给这些地址。
    当Hybris被启动后，它将从站点服务器上下载一个名为INDEX.TXT的文本文件，其中
包含了蠕虫下载的其他有用的文件列表。
    11月13日那个站点依旧运作并且包含下列升级组件文件：
    HTTP.DAT；NEWS.DAT；ENCR.DAT；PR0N.DAT；SPIRALE.DAT；SUB7.DAT；DOSEXE.DA
T；AVINET.DAT；
    11月20日包含病毒的站点被卸载。但病毒继续从新闻组alt.comp.virus上下载插件
。
    11月21日一个新的插件发布，它将使W32/Hybris以一种不可修复的方式感染PE 文件
。
    这个网络蠕虫向一个叫alt.comp.virus的新闻组发送病毒升级的细节。这个消息是
一个通讯信息，能够使主机
上运行的蠕虫自动升级。
    新闻组发送的消息格式如下：
anon.lcs.mit.edu!nym.alias.net!mail2news
Message-ID: <20001113080521.28781.qmail@nym.alias.net>
From:
Author-Address: anonymous anon lcs mit edu
Subject: http [44 character alpha code]
Mail-To-News-Contact: postmaster@nym.alias.net
Organization: mail2news@nym.alias.net
Newsgroups: alt.comp.virus
Lines: 46
KUWJGJWCVICGIWIWCZIWHCFXCHB [continues]....
[more coded lines]
[terminated by four asterisks]
****
备    注
病毒清除：
    目前瑞星公司已经发现该病毒的5个变种，可以全部查杀。（2001版12.04版以上）

    使用相应杀毒软件进行查杀。
    恢复原来的WSOCK32.DLL文件：
    Windows 98
     1、单击“开始”|运行，键入“SFC”。
     2、选择从安装盘上释放文件
     3、键入C:\WINDOWS\SYSTEM\WSOCK32.DLL ，然后单击开始。
     4、在 Restore from 框中键入C:\WINDOWS\OPTIONS\CABS 或浏览WIN98 安装盘
     5、单击OK
    Windows95
     1、 单击开始|关机选择RESTART IN MS-DOS MODE
     2、 键入: EXTRACT /A C:\WINDOWS\OPTIONS\CABS\WIN95_11.CAB WSOCK32.DLL /
L C:\WINDOWS\SYSTEM
         或  插入WIN95系统盘并键入:
    EXTRACT /A D:\WIN95\WIN95_11.CAB WSOCK32.DLL /L C:\WINDOWS\SYSTEM Where 
D: is your CD-ROM drive
 

--
※ 来源:·哈工大紫丁香 bbs.hit.edu.cn·[FROM: 202.118.230.238]