ALERTA VIRAL # 01-10
* * * * * EL HYBRIS * * * * *
ALERTA VIRAL # 01-10
* * * * * EL HYBRIS * * * * *
BLANCA NIEVES Y LOS SIETE ENANOS: LA VERDADERA HISTORIA
Nombre: Hybris
Alias: IWorm_Hybris, I-Worm.Hybris, Siete_Enanos
Tipo: Ejecutable Windows 32, DOS, Backdoor,
Gusano
Descripción:
Hybris es un virus extraordinariamente complejo, sus capacidades de infección, de diseminación y de destrucción tienen escasos precedentes, sus capacidades de defensa y construcción no tienen precedente alguno.
Este virus, gusano, troyano y puerta
trasera debe su nombre a las cadenas de texto cifrado (encriptado)
siguientes:
HYBRIS
(c) Vecna
Pero es más conocido por el texto
del mensaje a través del cual se disemina y que es, en una de sus
versiones castellanas, el siguiente:
Faltaba apenas un dia para su aniversario de de 18 años. Blanca
de Nieve fuera siempre muy bien cuidada por los enanitos. Ellos
le prometieron una *grande* sorpresa para su fiesta de
compleaños. Al entardecer, llegaron. Tenian un brillo incomun en
los ojos...
Probablemente esta versión
"castellana" es obra de un programa traductor o de una persona que no tiene
al castellano como su lengua materna. Se conocen otras versiones en portugués,
francés e inglés.
En su versión de anexo de correo electrónico el Hybris trae como remitente el siguiente:
Hahaha <hahaha@sexyfun.net>
Y algunos temas frecuentes del mensaje son:
Snowhite and the Seven Dwarfs - The
REAL story!
Branca de Neve pornô!
Enanito si, pero con que pedazo!
Les 7 coquir nains
La semilla o instalador del Hybris es
un archivo anexo que puede tener un nombre de entre una larga lista que
incluye, entre otros:
blanca de nieve.scr
branca de neve.scr
dwarf4you.exe
enanito fisgon.exe
enano.exe
enano porno.exe
joke.exe
El instalador de Hybris ejecuta algunas maniobras calamitosas entre las que se cuentan las siguientes:
Altera (irreversiblemente)
el archivo C:\WINDOWS\SYSTEM\WSOCK32.DLL que se encarga de las
comunicaciones
de red. Si no lo logra porque el archivo esté en uso, lo copia,
altera la copia y modifica el sistema para en el siguiente arranque se
use la copia infectada.
Infecta los archivos EXE, tanto los de DOS como los de Windows, algo rara vez observado porque las estructuras internas de ambos tipos de archivos son muy distintas. Los ejecutables de DOS pueden ser casi siempre desinfectados, los de Windows normalmente no porque son sobreescritos.
Rastrea toda dirección de correo que pase por la memoria (no solo las de la libreta de direcciones como otros gusanos) y envía mensajes con el instalador dejando pasar un lapso de tiempo para no ser detectado.
Envía
mensajes a los foros de Internet (Usenet) con copias del virus para que
otros usuarios los vean aun sin ser conocidos por el emisor. Para este
fin el virus dispone de una lista de servidores de Usenet. Se actualiza
y se expande bajando módulos de un servidor web y de los foros de
Internet. Igualmente envía las actualizaciones que la víctima
tenga y no se encuentren en los foros de Usenet a los que se conecte.
Cifra (encripta)
los nombres de los módulos de expansión para que no puedan
ser detectados por los antivirus, además de ponerles nombres aleatorios.
Localiza usuarios que tengan instalados programas que usen la puerta trasera (backdoor) SubSeven y les instala copias del virus.
Tiene rutinas
que ajustan el contenido de los archivos infectados para que no varíe
ni su tamaño, ni los factores de redundancia que usan los programas
verificadores de integridad (algunos antivirus los usan).
En el minuto
59 de cada hora a partir del año 2001, muestra una figura de una
espiral.
Infecta todos
los archivos ZIP y RAR en todos los discos del C: al Z: a través
de renombrar los EXEs originales y agregar copias del virus con el nombre
original de los EXEs (esta es una técnica conocida como virus acompañante
raramente encontrada, solo unos cuantos virus como el Byway, el AIDS y
el Implant la han empleado con anterioridad).
Crea las llaves siguientes en el registry de Windows:
HKLM\Software\Microsoft\Windows\CurrentVersion\RunOnce
{Default} = %WinSystem%\WormName
HKCU\Software\Microsoft\Windows\CurrentVersion\RunOnce
{Default} = %WinSystem%\WormName
aquí %WinSystem% es el directorio System de Windows y "WormName" es un nombre al azar como CPSHSFIT.EXE
DESCONTAMINACION
Prácticamente todos los antivirus que se basan en firmas o heurística pueden detectar el Hybris, los que se basan en verificación de integridad no podrán. Solo los archivos ejecutables de DOS pueden descontaminarse con certeza; los ejecutables de Windows, en especial el archivo WSOCK32.DLL, tienen que ser reinstalados si el antivirus no puede desinfectarlos.
La tenacidad del Hybris para reinstalarse hace necesario que sea descontaminado usando antivirus que puedan ejecutarse arrancando desde discos flexibles de sistema. Los archivos compactados (ZIP y RAR) que resulten infectados tendrán que descompactarse para descontaminarlos con seguridad porque allí de lo que se trata es de borrar los EXEs y restablecer los nombres de los archivos EX$ a su nombre EXE original, cosa que no hacen los antivirus.
Debido a que el Hybris deja copias de los módulos de expansión en el directorio Windows\System y a que esos archivos no tienen nombres ni extensiones reconocibles por los antivirus (los nombres se generan al azar) es preciso rastrear el directorio Windows\System especificando que se verifiquen todos los archivos y no solo los ejecutables o las extensiones estandar.
PREVENCION
Aunque no sea una solución preventiva para el 100% de las vías de infiltración del Hybris, probablemente más de un 90% de los casos de infección por correo electrónico pueden prevenirse si se instala un filtro en los lectores de correo -Outlook, Outlook Express, Eudora, Netscape y muchos otros lo pueden configurar- para que no acepten los mensajes que provengan del remitente siguiente:
Hahaha <hahaha@sexyfun.net>
O, si el filtrador lo permite, que bloquee
toda correspondencia que provenga de un usuario cuyo remitente incluya
el nombre "Hahaha", ya que puede cambiar el nombre del servidor de correo.
_________
Fuente: Ingeniería y Tecnología Avanzada, SA de CV. Datos
recabados por el
Departamento de Soporte de ITASA con base en investigación documental.
--------------------------------------------------------------------
Regresar a página de CSAV