Video Soft BBS


Video Soft BBS
Menú Principal
Anti Trojans
Antivirus
Hoaxes
Subscripciones
Otro software
Artículos
Links
Sugerencias
Sobre el BBS
Direcciones
Las Noticias
Galería
Chat

Controlado desde el 19/10/97 por NedStat

VSAntivirus   
Esta página es un servicio gratuito de Video Soft BBS -
SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número  desde el 12 de agosto de 1996

I-Worm.Hybris ¿Gusano o camaleón?
 
VSantivirus No. 136 - Año 4 - Martes 21 de noviembre de 2000

I-Worm.Hybris ¿Gusano o camaleón?

Este gusano (ver "VSantivirus No. 126 - Año 4 - Sábado 11 de noviembre de 2000, I-Worm.Hybris. Una nueva amenaza con textos pornográficos"), ha sido catalogado por la mayoría de las compañías antivirus como de poco riesgo. Sin embargo, su característica de ponerse al día a través de plugins descargados de Internet, pueden convertir esta poca atención al mismo, en una grave equivocación.

El gusano llega en un adjunto a un mensaje, que al ser abierto, reemplaza la biblioteca usada por Windows para las comunicaciones "WSOCK32.DLL". Una vez reemplazado este DLL, el Hybris controla el correo saliente y envía copias de si mismo a los destinatarios, generando al azar el nombre del archivo adjunto, asunto, y texto del mensaje.

Su característica de "camaleón", proviene de su habilidad para bajar componentes (encriptados), de Internet, denominados plugins. Este método fue usado por primera vez por el virus W95/Babylonia (ver "Artículos, 07/dic/99 - Virus: Babylonia. El primer virus capaz de auto-actualizarse"). Babylonia es un virus de origen brasileño descubierto el año pasado, que se actualizaba a través de un sitio Web, el cuál fue clausurado inmediatamente.

Pero Hybris, se pone al día, usando los grupos de noticias como "alt.comp.virus", además de algún sitio Web. Según Eugene Kaspersky, del Kaspersky Lab, "esto se trata quizás del código malévolo más complejo y refinado en la historia de los virus". "Primero, posee un estilo sumamente complejo de programación. Segundo, todos los plugins son encriptados con un sofisticado algoritmo similar al RSA, con una llave de 128 bit. Y finalmente, estos plugins le dan al autor del virus la posibilidad de modificar su creación 'en tiempo real', y de hecho esto le permite controlar las computadoras infectadas a nivel mundial", afirma Kaspersky.

Otros expertos, no piensan que el Hybris llegue a propagarse tanto. "Un alto grado de sofisticación no hace necesariamente un virus exitoso,", asegura Elias Levy, analista de seguridad de SecurityFocus.com. "Muchos virus menos sofisticados han causado más daño que otros con técnicas más elaboradas. Existen muchos factores que determinan que un virus tenga éxito, y no podemos decir cuáles son."

Por su parte McAfee recomendó que los usuarios borraran los adjuntos no solicitados, para prevenir la propagación de este gusano, al que calificó como de "riesgo bajo", lo mismo que hizo Trend Micro.

Lo cierto es que este virus ha estado propagándose bastante más en América Latina que en Europa (salvo tal vez en España), porque sus mensajes están en español y portugués (además de inglés y francés). Su capacidad de actualizarse, es algo que debería preocuparnos. Hoy mismo, recibimos en nuestro buzón cuatro variantes infectadas de este virus, una de ellas no aparece en las descripciones que se han brindado hasta el momento.

En nuestro sitio, mantenemos actualizada la descripción de este virus, así como la de los plugins que se han ido detectando.

Vea aquí la descripción completa de este virus, y un resumen de las acciones que puede realizar a través de sus plugins.

Ver también
11/11/00 - Virus: I-Worm.Hybris. Una nueva amenaza con textos pornográficos
09/12/00 - W32/Hybris-C. El enano maldito sigue atacando

 

Copyright 1996-2000 Video Soft BBS