VIRUS INFO
|
| Naziv
virusa: |
W32/Hybris.gen@M
|
| Alias:
|
Hybris,
I-Worm.Hybris , TROJ_HYBRIS.A, W32/Hybris.gen.dll@M,
W32/Hybris.plugin@M |
| Tip: |
worm |
| Način
širenja: |
e-mailom
i sa news grupa |
| Veličina: |
3
100 bajtova |
Destruktivan:
|
ne |
| Datum
aktiviranja: |
|
| Otkriven:
|
1.11.2000.
|
OBJAŠNJENJE
Stiže
kao e-mail sa sledećim karakteristikama:
Pošiljalac:
Hahaha <hahaha@sexyfun.net>
Subject:
(jedna od ovih varijanti)
Snowhite and the Seven Dwarfs - The REAL story!
Branca de Neve pornô!
Enanito si, pero con que pedazo!
Les 7 coquir nains
Telo
poruke:
C'etait un jour avant son dix huitieme anniversaire.
Les 7
nains, qui avaient aidé 'blanche neige' toutes
ces années apres
qu'elle se soit enfuit de chez sa belle mere,
lui avaient promis
une *grosse* surprise. A 5 heures comme toujours,
ils sont
rentrés du travail. Mais cette fois ils avaient
un air coquin...
Today,
Snowhite was turning 18. The 7 Dwarfs always where
very
educated and polite with Snowhite. When they go
out work at
mornign, they promissed a *huge* surprise. Snowhite
was anxious.
Suddlently, the door open, and the Seven Dwarfs
enter...
Faltaba
apenas un dia para su aniversario de de 18 anos.
Blanca
de Nieve fuera siempre muy bien cuidada por los
enanitos. Ellos
le prometieron una *grande* sorpresa para su fiesta
de
compleanos. Al entardecer, llegaron. Tenian un
brillo incomun en
los ojos...
Faltava
apenas um dia para o seu aniversario de 18 anos.
Branca
de Neve estava muito feliz e ansiosa, porque os
7 anoes
prometeram uma *grande* surpresa. As cinco horas,
os anoezinhos
voltaram do trabalho. Mas algo nao estava bem...
Os sete
anoezinhos tinham um estranho brilho no olhar...
Attachment:
(jedan fajl po slučajnom izboru)
enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exe
sexy virgin.scr
joke.exe
midgets.scr
dwarf4you.exe
blancheneige.exe
sexynain.scr
blanche.scr
nains.exe
branca de neve.scr
atchim.exe
dunga.scr
anao pornô.scr.
A ako
crv u sebi sadrši i neki dodatak koji je već instaliran,
e-mail je sa sledećim karakteristikama:
Subject:
(jedna od ovih varijanti)
Anna + sex
Raquel Darian sexy
Xena hot
Xuxa hottest
Suzete cum
famous cumshot
celebrity rape horny
leather ... e.t.c.
Attachment:
(jedan fajl po slučajnom izboru)
Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
celebrity rape.exe
leather.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-f*cking.exe
amateurs.exe.
Crvom
se možete zaraziti i ako ga startujete sa neke
od news grupa. Najčešći slučajevi zaraze ovim
crvom su bili u news grupi alt.comp.virus.
Glavna
meta crva je fajl WSOCK32.DLL. Crv upisuje
svoj kod na kraj zadnje sekcije u tom fajlu, dodaje
svoje kodove u sekcijama gde se pominju naredbe
"connect", "recv",
"send".
Ako crv nije u mogućnosti da inficira ovaj fajl,
kreira njegovu identičnu kopiju (naziv fajla je
po slučajnom odabiru) ali ubacuje svoje kodove.
Posle kreiranja ovog fajla, crv upisuje komandu
u WININIT.INI fajl kojom kaže da u toku
sledećeg startovanja Windowsa preimenuje ove fajlove.
Fajl koji ima sadržinu fajla WSOCK32.DLL
sa dodatim kodovima crva biće preimenovan u WSOCK32.DLL.
Inficiranjem ovog fajla crv ima mogućnost kontrole
svake komunikacije preko protokola za komunikaciju
sa drugim račnarima, pa i sa Internetom. Kada
korisnik dobije neki e-mail od nekoga, crv malko
sačeka (reda 30 sekundi) i onda pošalje kopiju
e-mail poruke na tu istu adresu.
Posle sledećeg startovanja Windowsa crv je postao
aktivan i upisuje sledeće ključeve u Registry
bazu:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \
Windows \ CurrentVersion \ RunOnce {Default} =
%WinSystem%ime_fajla
ili
HKEY_CURRENT_USER \ Software \ Microsoft
\ Windows \ CurrentVersion \ RunOnce {Default}
= %WinSystem%\ime_fajla
gde
je "ime_fajla" ime fajla koji može da
bude:
CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE.
Crv
u svom kodu sadrži u plug-inove (komponente
koje se instaliraju po potrebi) koje se,
u zavisnosti od potrebe, mogu skinuti
sa nekog web sajta ili sa neke od news
grupa, u zavisnosti kako je crv konfigurisan.
Kada crv skine neki plug-in, on ga smešta
u C:\ WINDOWS \ SYSTEM direktorijum.
Imena fajlova se generički kreiraju:
BIBGAHNH.IBG
DACMAPKO.ACM
GAFIBPFM.AFI
IMALADOL.MAL
MALADOLI.ALA.
Jedan
od plug-inova inficiraja sve RAR i ZIP
arhive na svim particijama (od C: do D:). Prilikom
inficiranja tih arhiva, crv ubacuje svoj kod i
u sve .EXE fajlove koji postoje u toj arhivi.
Ako je arhiva npr. bila ZIP biće preimenovana
u .EX$.
24 septembra
ili u 59-oj minuti 2001. godine, biće prikazana
sledeća
slika.
Da bi se ova slika uklonila, potrebno je istovremeno
pritisnuti CTRL-ALD-DEL da bi dobili Task
Manager. Iz spiska startovanih aplikacija
potrebno je da kliknete na FHJENJXE a zatim
i na dugme "End Task". Naziv ove aplikacije
se stalno menja ali uvek predstavlja 8 karaktera
koje crv odredi po slučajnom izboru.
Crv
sadrži u sebi text koji korisnik ne vidi:
HYBRIS
(c) Vecna
REŠENJE
Za
korisnike Microsoft Windowsa 95/95SR2:
U START meniju otići na SHUT
DOWN i odabrati RESTART IN MS-DOS
MODE.
Otkucati sledeći red:
EXTRACT /A C:\ WINDOWS \ OPTIONS \
CABS \ WIN95_11.CAB WSOCK32.DLL /L C:\
WINDOWS \ SYSTEM
ili ubaciti instalacioni CD Windowsa i
onda otkucati sledeće:
EXTRACT /A D:\ WIN95 \ WIN95_11.CAB
WSOCK32.DLL /L C:\ WINDOWS \ SYSTEM (gde
je D: CD-ROM drajv).
Za
korisnike Microsoft Windowsa 98:
U START meniju startovati RUN.
Otkucati SFC i pritisnuti OK.
Kada se pojavi prozor, odabrati opciju:
Extract one file from the installation disk
i otkucati sledeće:
C:\ WINDOWS \ SYSTEM \ WSOCK32.DLL.
U polju Restore from otkucati sledeće:
C:\ WINDOWS \ OPTIONS \ CABS
I do kraja samo treba da pritisnete OK.
Da
bi uklonili da se svaki put ne startuje
ona spirala, potrebno je da obrišete fajl
iz C:\ WINDOWS direktorijuma, tj.
fajl se npr. zove FHJENJXE.EXE.
Zatim je potrebno da obrišete i jednu
stavku iz fajla WIN.INI
run= C:\ WINDOWS\ FHJENJXE.EXE.
Ako kojim slučajem
ne uspevate da se rešite ovog virusa,
preuzmite cleaner.
(  ).
Treba
uvek imati osveženi antivirusni program.
|
