| Características: Este gusano toma su nombre Hybris debido a que dicha palabra se encuentra
en su código, aunque nunca es mostrada al usuario, como una marca de copyright del virus: HYBRIS
(c) Vecna
El autor de este virus es el mismo de otro
especimen autoactualizable, llamado W95/Babylonia, que utilizaba un sitio web para
agregarse las nuevas funciones. En un principio, el Hybris funcionaba de la misma manera,
pero el autor mejoró su versión original, permitiéndole bajar plugins y versiones
mejoradas del virus desde grupos de usuarios muy usados, lo que hace que los mismos no
puedan ser cerrados, como si lo fue su sitio web, originalmente alojado en VietMedia.com.
El autor envia las actualizaciones a los
grupos de usuarios alt.comp.virus de Usenet, y anon.Ics.mit.edu (este
bajo la dirección de retorno falsa root@microsoft.com), los cuales se encuentran encriptados con un
algoritmo de similar al RSA, y pueden tener referencias similares a las siguientes, para
que el virus pueda identificarlos:
encr HVGT FTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
text RFRE rebibmTCDOzGbCjSZ
Los primeros 4 caracteres de dicha
referencia son el nombre del plugin, y luego se puede notar la versión del mismo,
encriptada. Esto hace que el gusano pueda buscar las últimas versiones, y mejorar la que
está ejecutando en el momento del chequeo.
Para infectar usuarios, el gusano se
reproduce por correo electrónico por defecto, aunque puede utilizar otras formas de
reproducción si utiliza otras versiones del mismo, una vez ya instalado en algún
sistema.
Los mensajes de correo electrónico varian
según la versión del virus, y si tiene instalada alguna actualización. El más popular
de los mensajes que utiliza el virus, puede recibirse en 4 idiomas (inglés, castellano,
portugués y francés) distintos, y con distintos archivos adjuntos que también pueden
variar su nombre. Siempre es enviado, en su funcionamiento original, desde la dirección hahaha@sexyfun.net, con remitente "Hahaha".
El asunto del mensaje puede ser alguno de
los siguientes:
Snowhite
and the Seven Dwarfs - The REAL story!
Branca de Neve pornô!
Enanito si, pero con que pedazo!
Les 7 coquir nains
, el texto del mensaje puede ser alguno de los que se
detallan aquí (todos tienen errores ortográficos y/o gramaticales):
C'etait
un jour avant son dix huitieme anniversaire. Les 7 nains, qui avaient aidé 'blanche
neige' toutes ces années après qu'elle se soit enfuit de chez sa belle mère, lui
avaient promis une *grosse* surprise. A 5 heures comme toujours, ils sont rentrés du
travail. Mais cette fois ils avaient un air coquin...
Today, Snowhite was turning 18. The 7 Dwarfs always where very educated and polite with
Snowhite. When they go out work at mornign, they promissed a *huge* surprise. Snowhite was
anxious. Suddlently, the door open, and the Seven Dwarfs enter...
Faltaba apenas un dia para su aniversario de de 18 años. Blanca de Nieve fuera siempre
muy bien cuidada por los enanitos. Ellos le prometieron una *grande* sorpresa para su
fiesta de compleaños. Al entardecer, llegaron. Tenian un brillo incomun en los ojos...
Faltava apenas um dia para o seu aniversario de 18 anos. Branca de Neve estava muito feliz
e ansiosa, porque os 7 anões prometeram uma *grande* surpresa. As cinco horas, os
anõezinhos voltaram do trabalho. Mas algo nao estava bem... Os sete anõezinhos tinham um
estranho brilho no olhar...
y el archivo adjunto puede variar entre algunos de los
siguientes:
enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exe
sexy virgin.scr
joke.exe
midgets.scr
dwarf4you.exe
blancheneige.exe
sexynain.scr
blanche.scr
nains.exe
branca de neve.scr
atchim.exe
dunga.scr
anão pornô.scr
Debido a las distinas versiones, y
actualizaciones del Hybris, el mismo también puede ser recibido en un mensaje con un
asunto que combine una palabra de cada uno de los dos siguientes grupos (no se reproduce
la lista completa):
| Raquel Darian |
sexy |
| Xena |
hot |
| Xuxa |
hottest |
| Suzete |
cum |
| famous |
cumshot |
| celebrity page |
horny |
| leather |
sex |
| Anna |
sexy |
(por ejemplo, "Xena cum", "Xuxa
hottest", "Xuxa hot")
y con un archivo adjunto, que puede ser alguno de los
siguientes:
Anna.exe, Raquel Darian.exe,
Xena.exe, Xuxa.exe, Suzete.exe, famous.exe, celebrity rape.exe,
leather.exe, sex.exe, sexy.exe, hot.exe, hottest.exe, cum.exe, cumshot.exe, horny.exe,
anal.exe
gay.exe, oral.exe, pleasure.exe, asian.exe, lesbians.exe, teens.exe, virgins.exe,
boys.exe, girls.exe
SM.exe, sado.exe, cheerleader.exe, orgy.exe, black.exe, blonde.exe, sodomized.exe,
hardcore.exe
slut.exe, doggy.exe, suck.exe, messy.exe, kinky.exe, fist-fucking.exe, amateurs.exe
En otra de las versiones conocidas de este virus, puede
recibirse el virus en un mensaje sin asunto, y con un archivo adjunto .EXE, cuyo nombre es
una combinación aleatoria de 8 letras.
Si se ejecuta el archivo adjunto al mensaje, el gusano
infecta directamente el archivo WSOCK32.DLL, desde donde monitorea todos los correos
electrónicos que son enviados, y envia a las direcciones que intercepta un segundo
mensaje conteniendo el virus, como los que se detallaron más arriba.
Si el archivo WSOCK32.DLL se encuentra infectado, el virus
intentará infectarlo en el próximo reinicio, creando un archivo WININIT.INI que
contendrá las directivas necesarias para eliminar el archivo original, y reemplazarlo por
una copia infectada.
Luego se copia al directorio de sistema (normalmente,
\Windows\System), bajo un archivo .EXE, cuyo nombre será una combinación de 8 letras,
seleccionadas en forma aleatoria.
Para ejecutarse con cada reinicio del sistema, el virus
creará una entrada en el registro, en alguna de las siguientes claves:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
cuyo valor por defecto contendrán una llamado al archivo
copiado al directorio del sistema.
Luego, una vez que se ha instalado en el sistema, el gusano
consulta periódicamente por nuevas actualizaciones, que le permiten, entre otras cosas:
- Infectar archivos .ZIP y .RAR (formatos de compresión de
archivos), incluyendose en lugar de arcihvos .EXE, los cuales son renombrados a .EX$
- Conectarse a equipos que tengan instalado el Backdoor.G (o
SubSeven), e infectarlas con el gusano Hybris.
- Modificar su estructura, mediante una rutina de
encriptación polimórfica, dificultándose su detección.
- Modificar el formato del mensaje en el que se enviará por
correo electrónico.
- Mostrar una espiral que tape la gran parte de la pantalla si
la fecha es el 24 de Septiembre, o en el primer minuto de cada hora de cualquier dia del
año 2001.
- Bloquear direcciones de internet de los principales
antivirus para evitar que los usuarios infectados bajen herramientas para eliminarlo.
La utilización de plugins de este tipo le permiten al
gusano realizar cualquier tipo de acción, dado que cada actualización del virus pueden
contener distintas rutinas que pueden causar daño a su sistema.
Fuentes: Video
Soft y Security Portal |
