hybris
|
病毒名称: hybris
别名: i-worm.hybris , troj_hybris.a, w32/hybris.gen.dll@m, worm.hybris w32/hybris.gen@m, w32/hybris.plugin@m
病毒特点:
该病毒为一网络蠕虫,可以通过电子邮件进行传播。它只在win32系统下运行。
该病毒给每一个邮件系统中的人发送一个包含“随机名.exe ”的邮件,此文件一旦运行,会感染系统目录下的wsock32.dll文件。蠕虫的代码中包含插件,用以执行该蠕虫,并且可以从internet的一个网站上下载。该蠕虫的主要版本采用了半—多态加密技术。这种下载加密组件的方式与第一次使用该方法的w95/babylonia病毒相似。
蠕虫的主要感染目标是wsock32.dll动态链接库。在感染链接库的同时,它还将自身写入文件最后部分的结尾(附着了"connect", "recv", "send"功能);修改动态链接库的入口地址并对原入口地址进行加密。
如果蠕虫启动时无法感染wsock32.dll,说明该文件正在被使用,那么该蠕虫将创建wsock32.dll的副本(文件名由8个随机字母组成)感染它并将"rename" 指令写入wininit.ini文件中。那么wsock32.dll将在系统再次启动时被替换。
蠕虫同样在windows system目录下以随机文件名创建自身的副本,并在注册表中添加一下键值:
hkey_local_machine\software\microsoft\windows\currentversion\runonce
= %winsystem%\wormname
或
hkey_current_user\software\microsoft\windows\currentversion\runonce
= %winsystem%\wormname
其中"wormname" 是随机文件名。
当蠕虫处于激活状态时,它将截获windows 用于建立网络连接的函数,包括internet连接。蠕虫截获发送和接收的数据并扫描其email地址,一旦地址被检查到,蠕虫将等待一段时间然后将一个染毒的消息(扩展名为.exe或 .scr)发送给这些地址。
当hybris被启动后,它将从站点服务器上下载一个名为index.txt的文本文件,其中包含了蠕虫下载的其他有用的文件列表。
该病毒包含下列代码:
hybris
(c) vecna
|
|