HYBRIS
(c) Vecna

El principal blanco para la acción del virus es la librería WSOCK32.DLL, usada por Windows para las comunicaciones. Al infectar este archivo, el gusano se agrega al final del mismo.

A partir de allí, intercepta las funciones "connect", "recv" y "send".

Luego modifica la rutina de entrada del WSOCK32.DLL (la rutina que es activada cuando el DLL es cargado), y encripta la rutina original.

Si el virus no puede infectar a este archivo (en el caso de que el mismo estuviera en uso), el gusano crea una copia de WSOCK32.DLL con un nombre al azar y procede enseguida a infectarla. Luego agrega las instrucciones necesarias al archivo WININIT.INI de Windows, de modo que en el próximo reinicio del sistema operativo, esta copia tomará el lugar del verdadero WSOCK32.DLL.

También crea una copia de si mismo, y modifica el registro para ejecutarse una única vez en el próximo arranque de Windows:

HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
{Default} = C:\Windows\System\Nombre_del_gusano

o

HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
{Default} = C:\Windows\System\Nombre_del_gusano

El camino C:\Windows\System\ puede variar si Windows está instalado en una carpeta diferente, y "Nombre_del_gusano" es un nombre elegido al azar, por ejemplo:

CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE

Parece existir una sola razón para que el virus registre una copia adicional en la clave "RunOnce": que no se hubiera infectado el archivo WSOCK32.DLL la primera vez, y que su copia infectada no hubiera podido crearse por alguna razón. De este modo el gusano se asegura completar la tarea en el próximo reinicio de Windows.

Con el WSOCK32 infectado, el virus intercepta las funciones de Windows que establecen una conexión a una red, incluida por supuesto Internet. El gusano filtra todos los datos que se envían y se reciben, y los examina en busca de direcciones de email. Cuando las encuentra, el worm espera un tiempo, antes de enviarle un mensaje infectado a estas direcciones.

Los Plugins

La funcionalidad del gusano depende del plugin que se guarda dentro del código encriptado del virus. Esta encriptación utiliza un algoritmo similar al RSA, con una llave de 128 bits. Se han encontrado hasta 32 plugins diferentes en otras tantas versiones del virus. Estos, realizan diferentes acciones y pueden ser actualizados desde una página Web (VietMedia.com).

De ese modo la funcionalidad completa del gusano depende de la capacidad de su host para conectarse a esa página y actualizarse. Los plugins encontrados, también están encriptados con el mismo algoritmo.

Otra forma de actualizar los componentes es a través del grupo de noticias "alt.comp.virus". Cuando el gusano está activo en un equipo, se conecta con el servidor de noticias utilizando un servidor seleccionado al azar, convierte sus componentes en mensajes de grupo de noticias y los envía desde ahí. Los mensajes enviados por el gusano tienen referencias aleatorias, por ejemplo:

encr HVGT FTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
text RFRE rebibmTCDOzGbCjSZ

Los cuatro primeros caracteres son el nombre del componente y los cuatro siguientes son la versión del componente codificado. Además de enviar los mensajes, el gusano los lee en alt.comp.virus, obtiene el nombre y la versión del componente y lo compara con los del componente que está utilizando en ese momento. En caso de que el grupo de noticias tenga un mensaje con una versión superior, el gusano lo extrae y sustituye el actual.

Por otro lado, el gusano crea los siguientes componentes como archivos de disco en el directorio del sistema de Windows. Tienen nombres aleatorios: BIBGAHNH.IBG, DACMAPKO.ACM, GAFIBPFM.AFI, IMALADOL.MAL, MALADOLI.ALA.

Acciones realizadas por los plugins conocidos (hasta el 20/nov/00)

* Infecta todo archivo ZIP y RAR (archivos comprimidos) en todos los unidades de disco disponibles de la C: a la Z:. Cuando infecta, el virus renombra los archivos .EXE en esos formatos con la extensión .EX$, y luego agrega su propia copia con la extensión .EXE y el mismo nombre. Es el clásico método de infección conocido como "companion" (compañero), o sea un archivo infectado con el mismo nombre que el archivo original, pero que se ejecuta antes que este y luego de su acción le pasa el control.

* Envia mensajes infectados al grupo de noticias (newsgroups) "alt.comp.virus".

* Difunde el virus en computadoras remotas que tengan instalado el troyano backdoor SubSeven. El componente localiza estos equipos en la red y utilizando los comandos del SubSeven, carga una copia del gusano en ese equipo.

* Encripta las copias del gusano utilizando encriptación polimórfica antes de enviar la copia del archivo adjunto.

* Selecciona al azar el asunto, texto del mensaje y nombre del adjunto, cuando envía sus mensajes infectados. Estos mensajes se arman con la siguiente información (en las versiones actuales del virus):

Remitente:

Hahaha <hahaha@sexyfun.net>

Asuntos (se selecciona uno al azar):

Snowhite and the Seven Dwarfs - The REAL story!
Branca de Neve pornô!
Enanito si, pero con que pedazo!
Les 7 coquir nains

Cuerpo del mensaje (se selecciona uno al azar):

C'etait un jour avant son dix huitieme anniversaire. Les 7 nains, qui avaient aidé 'blanche neige' toutes ces années après qu'elle se soit enfuit de chez sa belle mère, lui avaient promis une *grosse* surprise. A 5 heures comme toujours, ils sont rentrés du travail. Mais cette fois ils avaient un air coquin...

Today, Snowhite was turning 18. The 7 Dwarfs always where very educated and polite with Snowhite. When they go out work at mornign, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter...

Faltaba apenas un dia para su aniversario de de 18 años. Blanca de Nieve fuera siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande* sorpresa para su fiesta de compleaños. Al entardecer, llegaron. Tenian un brillo incomun en los ojos...

Faltava apenas um dia para o seu aniversario de 18 anos. Branca de Neve estava muito feliz e ansiosa, porque os 7 anões prometeram uma *grande* surpresa. As cinco horas, os anõezinhos voltaram do trabalho. Mas algo nao estava bem... Os sete anõezinhos tinham um estranho brilho no olhar...

(Obsérvese los errores de sintaxis y gramaticales en algunas de las versiones, incluida la española).

Nombres de los archivos adjuntos (se selecciona uno al azar):

enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exe

sexy virgin.scr
joke.exe
midgets.scr
dwarf4you.exe

blancheneige.exe
sexynain.scr
blanche.scr
nains.exe

branca de neve.scr
atchim.exe
dunga.scr
anão pornô.scr

Actualización 15 de noviembre de 2000

Existen nuevos plugins de este virus, los que forman el contenido de "Asunto", con un combinación al azar de estos nombres (entre otros, ej: "Anna sex", "Anna hot", "Xuxa sexy", etc.):

Anna             +  sex
Raquel Darian       sexy
Xena                hot
Xuxa                hottest
Suzete              cum
famous              cumshot
celebrity rape      horny
leather             ... e.t.c.

Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
celebrity rape.exe
leather.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-fucking.exe
amateurs.exe

Actualización 20 de noviembre de 2000

Nuevos plugins:

* Modifica archivos EXE de DOS y de Windows (PE), para que ellos puedan liberar al gusano en el directorio temporal (TEMP) y lo ejecutan (actúan como un "droppers", cuentagotas en español, que "suelta" el código del virus).

Cuando infectan archivos EXE de DOS, el plugin agrega el código del "dropper" y el cuerpo del gusano al final del archivo. Estos archivos pueden ser desinfectados.

Si es un EXE de Win32 (Windows PE, Portable Executable), el plugin borra la sección del código del archivo (dependiendo de su tamaño). El plugin no toca el cabezal (header) del archivo (eso incluye la dirección del punto de entrada de su código), y no aumenta el tamaño total del archivo. Es más, el plugin tiene una rutina anti-CRC (chechsum), que engaña la rutina de chequeo CRC de algunos comprobadores de integridad, los que no descubrirán cambios en los archivos infectados: los datos del cheksum (CRC) serán iguales que los del archivo limpio.


Para quitar el virus y limpiar su sistema

Primero, ejecute un antivirus actualizado.

Luego debe recuperar el archivo WSOCK32.DLL original.

En Windows 98

1) Pinche en Inicio, Ejecutar, escriba SFC y pulse ENTER o pinche en ACEPTAR.

2) Seleccione "Extraer un archivo del disco de instalación".

3) En "Especifique el archivo que desee usar" teclee: WSOCK32.DLL y pinche en Iniciar.

4) En la ventana "Restaurar de:" seleccione la unidad de CD y la carpeta de instalación de Windows en el CD original, por ejemplo: D:\WIN98

Pulse en Aceptar y siga las instrucciones.

En Windows 95

1) Pinche en Inicio, Apagar el sistema, Reiniciar en Modo MS-DOS.

2) Inserte el CD de Windows 95 y teclee:

EXTRACT /A D:\WIN95\WIN95_11.CAB WSOCK32.DLL /L C:\WINDOWS\SYSTEM

(Cambie la letra D:\ por la unidad de CD en su sistema, si no fuera esta).

Fuente: Análisis del virus realizado por Eugene Kaspersky (AVP) y McAfee.

Ver también
20/11/00 -  I-Worm.Hybris ¿Gusano o camaleón?
09/12/00 - W32/Hybris-C. El enano maldito sigue atacando