Email-Worm.Win32.Hybris

Technische Details

Dies ist ein Internet-Wurm, der an E-Mail-Nachrichten angehängt wird. Der Wurm funktioniert nur unter Win32-Systemen. Der Wurm enthält Komponenten (Plugins) in seinem Code, die abhängig von den Anforderungen des Wurms ausgeführt werden, und diese Komponenten können von einer Internet-Website aktualisiert werden.

Die großen Wurmversionen sind mit einer halbpolymorphen Verschlüsselungsschleife verschlüsselt.

Der Wurm enthält die Textstrings:

HYBRIS
(c) Vecna

Der Wurm rennt

Das Hauptwurmziel auf einem Computer ist die WSOCK32.DLL-Bibliothek. Beim Infizieren dieser Datei, der Wurm:

• schreibt sich bis zum Ende des letzten Dateiabschnitts
• hooks "connect", "recv" und "send" -Funktionen
• Ändert die Adresse der DLL-Eintragsroutine (eine Routine, die beim Laden einer DLL-Datei aktiviert wird) und verschlüsselt die ursprüngliche Eintragsroutine

Wenn der Wurm WSOCK32.DLL nicht infizieren kann (falls er verwendet wird und zum Schreiben gesperrt ist), erstellt der Virus eine Kopie dieser Bibliothek (eine Kopie von WSOCK32.DLL mit zufälligem Namen), infiziert sie und schreibt a "rename" Anweisung in WININIT.INI Datei. Daher wird WSOCK32.DLL beim nächsten Windows-Start durch ein infiziertes Bild ersetzt.

Der Wurm erstellt auch seine Kopie mit einem zufälligen Namen im Windows-Systemverzeichnis und registriert sie im Registrierungsschlüssel RunOnce:

 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {Default} =% WinSystem% WormName 

oder

 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {Standard} =% WinSystem% Wurmname 

Dabei ist% WinSystem% das Windows-Systemverzeichnis und "WormName" ist ein zufälliger Name mit acht Symbolen, zum Beispiel:

CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE

Es gibt nur einen möglichen Grund für das Registrieren einer zusätzlichen Wurmkopie im Registrierungsschlüssel "RunOnce": Falls WSOCK32.DLL während des ersten Wurmlaufs nicht infiziert war und seine infizierte Kopie aus irgendeinem Grund nicht erstellt wurde, der Wurm "RunOnce" Kopieren beendet die Aufgabe beim nächsten Windows-Neustart.

Infizierte WSOCK32.DLL

Der Wurm fängt Windows-Funktionen ab, die eine Netzwerkverbindung herstellen, einschließlich des Internets. Der Wurm fängt gesendete und empfangene Daten ab und scannt sie nach E-Mail-Adressen. Wenn eine Adresse erkannt wird, wartet der Wurm einige Zeit und sendet dann eine infizierte Nachricht an diese Adresse (n).

Plugins

Die Funktionalität des Wurms hängt von den Plugins ab, die in einem Wurmkörper gespeichert sind, der mit einem RSA-ähnlichen starken Kryptoalgorithmus mit einem 128-Bit-Schlüssel verschlüsselt ist. Es gibt bis zu 32 Plugins, die in verschiedenen Wurm-Versionen gefunden werden können. Diese Plugins führen verschiedene Aktionen durch, die von einer Webseite aktualisiert werden können:

http://pleiku.vietmedia.com/bye/

Die vollständige Wurmfunktion hängt also nur von ihrem Host ab, der Plugins auf einer Webseite aktualisieren kann. Die Plugins auf einer Seite sind ebenfalls mit RSA-artigem Krypto verschlüsselt.

Der Wurm aktualisiert seine Plugins auch mithilfe der Newsgroup alt.comp.virus. Der Wurm, der auf einer Maschine aktiv ist, verbindet sich mit einem News-Server (indem er einen von zufällig ausgewählten Servern verwendet – es gibt mehr als 70 Adressen in der Liste), wandelt seine Plugins in Newsgroup-Nachrichten um und postet sie dort. Die Nachrichten des Wurms haben ein zufälliges Subjekt, zum Beispiel:

encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
Text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
Text RFRE rebibmTCDOzGbCjSZ

wo die ersten vier Aufgaben das Plugin "Name" sind und die folgenden vier Aufgaben sind ein codiertes Plugin "Version". Neben dem Senden liest der Wurm solche Nachrichten aus alt.comp.virus, ruft das Plugin "name" und "version" ab und vergleicht sie mit Plugins, die der Wurm derzeit verwendet. Falls die Newsgruppe eine Nachricht mit einer höheren Plugin-Version hat, extrahiert der Wurm diese und ersetzt die bestehende. Der Wurm verwendet also alt.comp.virus, um seine Plugins zu aktualisieren.

Der Wurm erstellt diese Plugins auch als Disk-Dateien im Windows-Systemverzeichnis. Sie haben auch einen zufälligen Namen, aber der Wurm kann weiterhin darauf zugreifen. Die Namen können wie folgt aussehen:

BIBGAHNH.IBG
DACMAPKO.ACM
GAFIBPFM.AFI
IMALADOL.MAL
MALADOLI.ALA

Es gibt verschiedene bekannte Plugins, die:

1. Infizieren Sie alle ZIP- und RAR-Archive auf allen verfügbaren Laufwerken von C: bis Z :. Während des Infizierens benennt der Wurm EXE-Dateien im Archiv mit der Erweiterung .EX $ um und fügt seine Kopie mit der Erweiterung .EXE zum Archiv hinzu (Companion-Methode der Infektion).

2. Senden Sie Nachrichten mit codierten Plugins an die Neewsgroup "alt.comp.virus" und beziehen Sie von dort neue Plugins.

3. Verbreiten Sie den Virus auf Remote-Computer, auf denen ein SubSeven Backdoor-Trojaner installiert ist. Das Plugin erkennt solche Maschinen im Netz und lädt mit SubSeven-Befehlen eine Wurmkopie auf die Maschine und erzeugt sie dort.

4. Verschlüsseln Sie Wurmkopien mit einer polymorphen Verschlüsselungsschleife, bevor Sie die Kopie an eine E-Mail senden.

5. Abhängig vom Datum und der Uhrzeit des Systems (am 16. und 24. September und von 59 Minuten jeder Stunde ab dem Jahr 2001 – in bekannten Plugins) wird der "spirale" -Effekt ausgeführt.

Das Plugin erstellt einen zufälligen 8-Byte-EXE-Namen im Windows-Systemverzeichnis, entpackt den EXE-Code "spirale effect" dorthin und registriert diese Datei im System:

unter Win9x: in der Datei WIN.INI in [Windows] "run =" Zeile unter WinNT: in der Systemregistrierung in "Run =" Schlüssel

6. Betrifft DOS EXE- und Windows PE EXE-Dateien. Der Wurm wirkt auf sie, so dass sie zu Wurmfallen werden. Wenn sie ausgeführt werden, löschen sie die Wurm-EXE-Datei in das TEMP-Verzeichnis und führen sie aus.

Während sich das Plugin auf die DOS EXE-Datei auswirkt, fügt es am Ende der Datei einen Dropper-Code und einen Wurmkörper hinzu. Diese Dateien sind desinfizierbar.

Während sich das Plugin auf die Windows PE EXE-Datei auswirkt, überschreibt das Plugin den Dateicode-Abschnitt, um eine Lücke für den Wurm-Code zu erhalten, und schreibt den Wurm-Tropfer-Code in diese Lücke (wenn die Größe ausreicht). Das Plug-In berührt nicht den Dateikopf (einschließlich der Einsprungadresse) und erhöht nicht die Dateigröße. Darüber hinaus verfügt es über eine Anti-CRC (Chechsum) -Routine, die spezielle Daten im Plugin-Code füllt, so dass die CRC-Datei für einige häufig verwendete CRC-Algorithmen identisch wird. Das bedeutet, dass einige Integritätsprüfprogramme keine Änderungen in betroffenen Dateien feststellen: Die Dateilänge und der CRC der Dateikörper bleiben gleich wie bei einer sauberen Datei.

Wenn eine solche PE EXE-Datei ausgeführt wird, löscht der Dropper-Code den Wurm und aktiviert ihn, dann stellt er den Codeabschnitt wieder her (entpackt ihn) und gibt die Kontrolle an die Host-Datei zurück.

7. Wählen Sie beim Senden der Wurmkopien per E-Mail zufällig einen Betreff, Nachrichtentext und Namen anhängen aus:

Von:

Hahaha [hahaha@sexyfun.net]

Fächer:

Snowhite und die sieben Zwerge – Die ECHTE Geschichte!

Branca de Neve porno�!

Enanito si, pero con que pedazo!

Les 7 Coquir Nains

Nachrichtentexte:

C'etait un jour avant sohn dix huitieme anniversaire. Les 7 nains, qui avaient aid� 'blanche neige' freut sich, wenn es um die schöne Jahreszeit geht, und es ist eine schöne Zeit, die Ihnen eine große Überraschung bietet. A 5 heures comme toujours, its sont rentres du travail. Mais cette fois ils avaient un air coquin …

Heute wurde Snowhite 18. Die 7 Zwerge waren immer sehr gebildet und höflich mit Snowhite. Als sie morgens bei mornign ausgingen, versprachen sie eine große Überraschung. Snowhite war besorgt. Ungeduldig öffnet sich die Tür und die Sieben Zwerge betreten …

Faltaba apenas un dia für su aniversario de 18 aTos. Blanca de Nieve fuera siempre muy bien wird von den enanitos. Elmos le prometieron una * grande * sorpresa für die Fiesta de CompleaTos. Al entardecer, llegaron. Tenian un brillo incomun en los ojos …

Faltava apenas um dia para oder sue aniversario de 18 anos. Branca de Neve ist ein Mädchen, das auf dem Boden liegt, mit einer 7-Meter-Prometera uma * grande * surpresa. Als cinco horas, os anÿezinhos voltaram tun trabalho. Mas algo nao estava bem … ist nicht mehr wegzudenken als estranho brilho no olhar …

Namen anhängen:

enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exe

sexy Jungfrau.scr
joke.exe
midgets.scr
zwerg4you.exe

blanchen.exe
sexynain.scr
blanche.scr
nains.exe

Branca de Neve.scr
atchim.exe
dunga.scr
an�o porno�.scr

Sowie (abhängig von der Plugin-Version):

Die Nachricht Betreff ist eine zufällige Kombination von:

 Anna + Sex
 Raquel Darian sexy
 Xena heiß
 Xuxa am heißesten
 Suzete cum
 berühmter Cumshot
 Promi Vergewaltigung geil
 Leder ... usw

Name anhängen:

Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
berühmt.exe
Berühmtheit rape.exe
leder.exe
sex.exe
sexy.exe
heiß.exe
heißeste.exe
cum.exe
abspritzen.exe
geil.exe
anal.exe
gay.exe
orale.exe
Vergnügen.exe
asiatische.exe
lesben.exe
teens.exe
virgins.exe
Jungen.exe
Mädchen.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
schwarz.exe
blond.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
faust-fucking.exe
amateure.exe

Der Name der angehängten Datei kann auch ein zufälliger Name mit acht Byte .EXE sein, zum Beispiel:

ADELHHAD.EXE
CFIMMHAG.EXE
DIEOPIDI.EXE
EABLLNEA.EXE
FKPODKFK.EXE
HJEOINHJ.EXE
OGNNFEOG.EXE
PFFCKEFF.EXE