Virus: W32/Hybris-C. El enano maldito sigue atacando

Esta página es un servicio gratuito de Video Soft BBS - SUBSCRIBASE en nuestras listas de correo.
Es usted nuestro visitante número

desde el 12 de agosto de 1996

Virus: W32/Hybris-C, W32/Hybris-D. El enano maldito sigue atacando

VSantivirus No. 154 - Año 4 - Sábado 9 de diciembre de 2000
Actualizado 18/dic/00

Nombre: W32/Hybris-C, W32/Hybris-D
Tipo: Gusano de Internet
Ver también: I-Worm.Hybris en VSantivirus No. 126 - Año 4 - Sábado 11 de noviembre de 2000, I-Worm.Hybris. Una nueva amenaza con textos pornográficos, VSantivirus No. 136 - Año 4 - Martes 21 de noviembre de 2000, I-Worm.Hybris ¿Gusano o camaleón?.

Cómo se ha mencionado en otros boletines, este virus tal vez sea uno de los que más se ha propagado en los últimos tiempos, al menos en nuestros países. El mensaje con el asunto "Enanito si, pero con que pedazo!", enviado por Hahaha <hahaha@sexyfun.net> (una dirección falsa, ya que quien realmente lo envía es la persona infectada), es ya un clásico (a nuestros buzones suelen llegar de 4 a 5 de estos mensajes por día, un hecho inédito hasta ahora para cualquier otro virus).

Esta tercera variante del virus (para ver más detalles del mismo, refiérase a los boletines anteriores o a nuestra página), ha empezado a verse en Europa, en una proporción bastante alta, según reporta Sophos.

W32/Hybris o I-Worm.Hybris es un gusano capaz de actualizarse a si mismo vía Internet.

Consiste en una parte básica, y una colección de elementos llamados plugins, que recoge de la red. Tanto los plugins como el propio virus, están encriptados con un fuerte algoritmo criptográfico, y una clave de 128 bit.

Cuando se ejecuta, el gusano infecta al archivo WSOCK32.DLL. Cada vez que un mensaje es enviado, el gusano intenta mandar una copia de si mismo en otro mensaje separado, al mismo destinatario que el mensaje normal, pero con diferente remitente (en las versiones conocidas: hahaha@sexyfun.net).

El texto del mensaje es determinado por uno de los componentes instalados del virus, y puede ser cambiado por el mecanismo de mejoras detallado.

Las versiones conocidas, verifican la configuración del idioma de la computadora infectada, y seleccionan un mensaje de acuerdo a ello. En esta versión, estos son los asuntos y textos de los mensajes:

Inglés:

Asunto:
Snowhite and the Seven Dwarfs - The REAL story!

Texto:
polite with Snowhite. When they go out work at mornign, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter...

Francés:

Asunto:
aidé 'blanche neige' toutes ces années après qu'elle se soit enfuit de chez

Texto:
sa belle mère, lui avaient promis une *grosse* surprise. A 5 heures comme toujours, ils sont rentrés du travail. Mais cette fois ils avaient un air coquin...

Portugués:

Asunto:
muito feliz e ansiosa, porque os 7 anões prometeram uma *grande* surpresa.

Texto:
As cinco horas, os anõezinhos voltaram do trabalho. Mas algo nao estava bem... Os sete anõezinhos tinham um estranho brilho no olhar...

Español:

Asunto:
siempre muy bien cuidada por los enanitos. Ellos le
prometieron una *grande*

Texto:
sorpresa para su fiesta de compleaños. Al entardecer, llegaron. Tenian un brillo incomun en los ojos...

Los métodos para actualizarse, pueden ser cambiados por los propios plugins descargados. Actualmente, se conocen dos métodos.

Uno de ellos intenta descargar la actualización desde un sitio Web, presumiblemente operado por el autor del gusano. Este sitio ha sido dado de baja, pero el componente puede ser modificado para descargar los plugins de diferentes sitios.

El otro método involucra mensajes posteados con los plugins adjuntos, disfrazados de otros archivos, en el newsgroup alt.comp.virus. Los participantes infectados, son los que a su vez reenvían estas actualizaciones sin saberlo. Las mismas también están encriptadas, y contienen un cabezal con cuatro caracteres que identifican el plugin a instalar.

Otro de los componentes del gusano investiga la computadora infectada en busca de archivos .ZIP y .RAR, y cuando encuentra alguno, busca dentro de ellos algún archivo .EXE que renombra a .EX$. Luego agrega una copia de si mismo con el nombre original del archivo renombrado.

Otro de los componentes, hace que el 24 de setiembre de cualquier año, o en el primer minuto de cada hora en cualquier día del año 2001, se muestre una gran espiral animada en el medio de la pantalla, la cuál es muy difícil de cerrar.

Existe otro plugin que aplica una encriptación polimórfica simple al propio gusano antes de reenviarlo por correo. Actualizando este componente el autor puede cambiar completamente la apariencia del gusano, de maneras imprevisibles, en un intento de engañar a los antivirus.

Ver también
11/11/00 - Virus: I-Worm.Hybris. Una nueva amenaza con textos pornográficos
20/11/00 - I-Worm.Hybris ¿Gusano o camaleón?

Fuente: Sophos, SecuSys