W32/Hybris.gen@M

Наслов: W32/Hybris.gen@M 3/7/2009, 17:21

VIRUS INFO
Naziv virusa: W32/Hybris.gen@M
Alias: Hybris, I-Worm.Hybris , TROJ_HYBRIS.A, W32/Hybris.gen.dll@M, W32/Hybris.plugin@M
Tip: worm
Način širenja: e-mailom i sa news grupa
Veličina: 3 100 bajtova
Destruktivan:
ne
Datum aktiviranja:
Otkriven: 1.11.2000.

OBJAŠNJENJE
Stiže kao e-mail sa sledećim karakteristikama:

Pošiljalac: Hahaha <hahaha@sexyfun.net>

Subject: (jedna od ovih varijanti)
Snowhite and the Seven Dwarfs - The REAL story!
Branca de Neve pornô!
Enanito si, pero con que pedazo!
Les 7 coquir nains

Telo poruke:
C'etait un jour avant son dix huitieme anniversaire. Les 7
nains, qui avaient aidé 'blanche neige' toutes ces années apres
qu'elle se soit enfuit de chez sa belle mere, lui avaient promis
une *grosse* surprise. A 5 heures comme toujours, ils sont
rentrés du travail. Mais cette fois ils avaient un air coquin...

Today, Snowhite was turning 18. The 7 Dwarfs always where very
educated and polite with Snowhite. When they go out work at
mornign, they promissed a *huge* surprise. Snowhite was anxious.
Suddlently, the door open, and the Seven Dwarfs enter...

Faltaba apenas un dia para su aniversario de de 18 anos. Blanca
de Nieve fuera siempre muy bien cuidada por los enanitos. Ellos
le prometieron una *grande* sorpresa para su fiesta de
compleanos. Al entardecer, llegaron. Tenian un brillo incomun en
los ojos...

Faltava apenas um dia para o seu aniversario de 18 anos. Branca
de Neve estava muito feliz e ansiosa, porque os 7 anoes
prometeram uma *grande* surpresa. As cinco horas, os anoezinhos
voltaram do trabalho. Mas algo nao estava bem... Os sete
anoezinhos tinham um estranho brilho no olhar...

Attachment: (jedan fajl po slučajnom izboru)
enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exe
sexy virgin.scr
joke.exe
midgets.scr
dwarf4you.exe
blancheneige.exe
sexynain.scr
blanche.scr
nains.exe
branca de neve.scr
atchim.exe
dunga.scr
anao pornô.scr.

A ako crv u sebi sadrši i neki dodatak koji je već instaliran, e-mail je sa sledećim karakteristikama:

Subject: (jedna od ovih varijanti)
Anna + sex
Raquel Darian sexy
Xena hot
Xuxa hottest
Suzete cum
famous cumshot
celebrity rape horny
leather ... e.t.c.

Attachment: (jedan fajl po slučajnom izboru)
Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
celebrity rape.exe
leather.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-f*cking.exe
amateurs.exe.

Crvom se možete zaraziti i ako ga startujete sa neke od news grupa. Najčešći slučajevi zaraze ovim crvom su bili u news grupi alt.comp.virus.

Glavna meta crva je fajl WSOCK32.DLL. Crv upisuje svoj kod na kraj zadnje sekcije u tom fajlu, dodaje svoje kodove u sekcijama gde se pominju naredbe "connect", "recv", "send".
Ako crv nije u mogućnosti da inficira ovaj fajl, kreira njegovu identičnu kopiju (naziv fajla je po slučajnom odabiru) ali ubacuje svoje kodove. Posle kreiranja ovog fajla, crv upisuje komandu u WININIT.INI fajl kojom kaže da u toku sledećeg startovanja Windowsa preimenuje ove fajlove. Fajl koji ima sadržinu fajla WSOCK32.DLL sa dodatim kodovima crva biće preimenovan u WSOCK32.DLL. Inficiranjem ovog fajla crv ima mogućnost kontrole svake komunikacije preko protokola za komunikaciju sa drugim račnarima, pa i sa Internetom. Kada korisnik dobije neki e-mail od nekoga, crv malko sačeka (reda 30 sekundi) i onda pošalje kopiju e-mail poruke na tu istu adresu.
Posle sledećeg startovanja Windowsa crv je postao aktivan i upisuje sledeće ključeve u Registry bazu:

HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce {Default} = %WinSystem%ime_fajla
ili
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce {Default} = %WinSystem%\ime_fajla

gde je "ime_fajla" ime fajla koji može da bude:

CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE.

Crv u svom kodu sadrži u plug-inove (komponente koje se instaliraju po potrebi) koje se, u zavisnosti od potrebe, mogu skinuti sa nekog web sajta ili sa neke od news grupa, u zavisnosti kako je crv konfigurisan. Kada crv skine neki plug-in, on ga smešta u C:\ WINDOWS \ SYSTEM direktorijum. Imena fajlova se generički kreiraju:

BIBGAHNH.IBG
DACMAPKO.ACM
GAFIBPFM.AFI
IMALADOL.MAL
MALADOLI.ALA.

Jedan od plug-inova inficiraja sve RAR i ZIP arhive na svim particijama (od C: do D:). Prilikom inficiranja tih arhiva, crv ubacuje svoj kod i u sve .EXE fajlove koji postoje u toj arhivi. Ako je arhiva npr. bila ZIP biće preimenovana u .EX$.

24 septembra ili u 59-oj minuti 2001. godine, biće prikazana sledeća slika.
Da bi se ova slika uklonila, potrebno je istovremeno pritisnuti CTRL-ALD-DEL da bi dobili Task Manager. Iz spiska startovanih aplikacija potrebno je da kliknete na FHJENJXE a zatim i na dugme "End Task". Naziv ove aplikacije se stalno menja ali uvek predstavlja 8 karaktera koje crv odredi po slučajnom izboru.

Crv sadrži u sebi text koji korisnik ne vidi:
HYBRIS
(c) Vecna

REŠENJE
Za korisnike Microsoft Windowsa 95/95SR2:

U START meniju otići na SHUT DOWN i odabrati RESTART IN MS-DOS MODE.
Otkucati sledeći red:

EXTRACT /A C:\ WINDOWS \ OPTIONS \ CABS \ WIN95_11.CAB WSOCK32.DLL /L C:\ WINDOWS \ SYSTEM

ili ubaciti instalacioni CD Windowsa i onda otkucati sledeće:

EXTRACT /A D:\ WIN95 \ WIN95_11.CAB WSOCK32.DLL /L C:\ WINDOWS \ SYSTEM (gde je D: CD-ROM drajv).

Za korisnike Microsoft Windowsa 98:

U START meniju startovati RUN.
Otkucati SFC i pritisnuti OK.
Kada se pojavi prozor, odabrati opciju:
Extract one file from the installation disk
i otkucati sledeće:

C:\ WINDOWS \ SYSTEM \ WSOCK32.DLL.

U polju Restore from otkucati sledeće:

C:\ WINDOWS \ OPTIONS \ CABS

I do kraja samo treba da pritisnete OK.

Da bi uklonili da se svaki put ne startuje ona spirala, potrebno je da obrišete fajl iz C:\ WINDOWS direktorijuma, tj. fajl se npr. zove FHJENJXE.EXE. Zatim je potrebno da obrišete i jednu stavku iz fajla WIN.INI
run= C:\ WINDOWS\ FHJENJXE.EXE.

Ako kojim slučajem ne uspevate da se rešite ovog virusa, preuzmite cleaner.
(download ).

Treba uvek imati osveženi antivirusni program.