Kaspersky Threats

Classe

Plateforme

Description

Détails techniques

C'est un ver Internet qui se propage aux messages électroniques. Le ver fonctionne uniquement sous les systèmes Win32. Le ver contient des composants (plugins) dans son code qui sont exécutés en fonction des besoins du ver, et ces composants peuvent être mis à jour à partir d'un site Web Internet.

Les principales versions de ver sont cryptées avec une boucle de cryptage semi-polymorphique.

Le ver contient les chaînes de texte:

HYBRIS
(c) Vecna

Les cycles de vers

La principale cible de ver sur un ordinateur est la bibliothèque WSOCK32.DLL. En infectant ce fichier, le ver:

écrit lui-même à la fin de la dernière section de fichier
crochets "connect", "recv", et "envoyer" des fonctions
modifie l'adresse de routine d'entrée DLL (une routine qui est activée lors du chargement d'un fichier DLL) et crypte la routine d'entrée d'origine

Si le ver n'est pas capable d'infecter WSOCK32.DLL (au cas où il est utilisé et est verrouillé pour l'écriture), le virus crée une copie de cette bibliothèque (une copie de WSOCK32.DLL avec un nom aléatoire), l'infecte et écrit un Renommez l'instruction au fichier WININIT.INI. Par conséquent, WSOCK32.DLL sera remplacé par une image infectée lors du prochain démarrage de Windows.

Le ver crée également sa copie avec un nom aléatoire dans le répertoire système Windows et l'enregistre dans la clé de Registre RunOnce:

 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {Default} =% WinSystem% WormName

ou

 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {Par défaut} =% WinSystem% WormName

où% WinSystem% est le répertoire système de Windows, et "WormName" est un nom aléatoire de huit symboles, par exemple:

CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE

Il n'y a qu'une seule raison possible d'enregistrer une copie de ver supplémentaire dans la clé de registre "RunOnce": dans le cas où WSOCK32.DLL n'a pas été infecté lors du premier ver, et sa copie infectée n'a pas été créée pour une raison quelconque la copie terminera la tâche lors du prochain redémarrage de Windows.

WSOCK32.DLL infecté

Le ver intercepte les fonctions Windows qui établissent une connexion réseau, y compris Internet. Le ver intercepte les données qui sont envoyées et reçues, et les analyse pour les adresses e-mail. Lorsqu'une / des adresse (s) est (sont) détectée (s), le ver attend pendant un certain temps et envoie un message infecté à cette / ces adresse (s).

Plugins

La fonctionnalité du ver dépend des plugins qui sont stockés dans un corps de ver crypté avec un algorithme de chiffrement fort de type RSA avec une clé de 128 bits. Il y a jusqu'à 32 plugins qui peuvent être trouvés dans différentes versions de ver. Ces plugins effectuent différentes actions qui peuvent être mises à jour à partir d'une page Web:

http://pleiku.vietmedia.com/bye/

donc la fonctionnalité complète du ver ne dépend que de son hôte capable de mettre à jour les plugins sur une page Web. Les plugins sur une page sont cryptés avec une crypto similaire à RSA.

Le ver met également à jour ses plugins en utilisant le groupe de discussion alt.comp.virus. Le ver, actif sur une machine, se connecte à un serveur de news (en utilisant un des serveurs sélectionnés au hasard – il y a plus de 70 adresses dans la liste), convertit ses plugins en messages de newsgroups et les poste là. Les messages du ver ont un objet de type aléatoire, par exemple:

encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
texte RFRE rebibmTCDOzGbCjSZ

où les quatre premières corvées sont plugin "nom" et après quatre corvées sont une version "plugin" encodée. En plus de l'envoi, le ver lit ces messages depuis alt.comp.virus, obtient le plugin "name" et "version" et les compare avec les plugins actuellement utilisés par le ver. Dans le cas où le groupe de discussion a un message avec une version plus élevée du plugin, le ver l'extrait et remplace celui existant. Le ver utilise donc alt.comp.virus pour mettre à jour ses plugins.

Le ver crée également ces plugins en tant que fichiers disque dans le répertoire système de Windows. Ils ont aussi un nom aléatoire, mais le ver continue à pouvoir y accéder. Les noms peuvent ressembler à ceci:

BIBGAHNH.IBG
DACMAPKO.ACM
GAFIBPFM.AFI
IMALADOL.MAL
MALADOLI.ALA

Il existe plusieurs plugins connus qui:

1. Infecter toutes les archives ZIP et RAR sur tous les lecteurs disponibles de C: à Z :. Lors de l'infection, le ver renomme les fichiers EXE dans l'archive avec une extension .EX $ et ajoute sa copie avec une extension .EXE à l'archive (méthode d'infection associée).

2. Envoyez des messages avec des plugins encodés au groupe neews "alt.comp.virus", et obtenez de nouveaux plugins à partir de là.

3. Répandez le virus sur les machines distantes auxquelles est installé un cheval de Troie de porte dérobée SubSeven. Le plugin détecte de telles machines sur le Net, et en utilisant les commandes SubSeven, télécharge une copie de ver sur la machine et l'engendre là-dedans.

4. Chiffrez les copies de ver avec une boucle de chiffrement polymorphe avant d'envoyer la copie jointe à un courrier électronique.

5. En fonction de la date et de l'heure du système (les 16 et 24 septembre et à 59 minutes de chaque heure à partir de l'année 2001 – dans les plugins connus), l'effet "spirale" est exécuté.

Le plugin crée un nom .EXE aléatoire de 8 octets dans le répertoire système Windows, décompresse le code EXE "effet spirale" et enregistre ce fichier dans le système:

sous Win9x: dans le fichier WIN.INI dans [windows] "run =" ligne sous WinNT: dans le registre système dans "Run =" clé

6. Affecte les fichiers DOS EXE et Windows PE EXE. Le ver les affecte de sorte qu'ils deviennent des compte-gouttes de ver. Quand ils sont lancés, ils déposent le fichier EXE du ver dans le répertoire TEMP et l'exécutent.

Tout en affectant DOS fichier EXE, le plugin ajoute le code du compte-gouttes et le corps de ver à la fin du fichier. Ces fichiers sont désinfectables.

En affectant le fichier EXE de Windows PE, le plugin remplace la section de code de fichier pour obtenir un espace pour le code de ver, et écrit le code du compte de vers à cet espace (si sa taille est suffisante). Le plugin ne touche pas l'en-tête du fichier (y compris l'adresse du point d'entrée) et n'augmente pas la taille du fichier. En outre, il a une routine anti-CRC (chechsum) qui remplit des données spéciales dans le code de plugin de sorte que le CRC de fichier devient le même pour peu d'algorithmes de CRC couramment utilisés. Cela signifie que certains vérificateurs d'intégrité ne détecteront pas les modifications dans les fichiers concernés: la longueur du fichier et le CRC du corps de fichier restent les mêmes que sur un fichier propre.

Lorsque ce fichier EXE PE est exécuté, le code du dropper supprime et active le ver, puis restaure (décompresse) la section de code et renvoie le contrôle au fichier hôte.

7. Sélectionnez aléatoirement un objet, un texte de message et un nom joint lors de l'envoi des copies de ver avec des messages électroniques:

De:

Hahaha [hahaha@sexyfun.net]

Sujets:

Snowhite et les sept nains – L'histoire vraie!

Branca de Neve porn�!

Enanito si, pero con que pedazo!

Les 7 coquir nains

Textes de message:

C'etait un jour avant son huit huitieme anniversaire. Les 7 nains, qui ont aidé à 'blanche neige' toutes ces années après qu'elle soit enfuit de chez sa belle mère, lui a offert une * grosse * surprise. A 5 heures comme toujours, ils sont rentrés du travail. Mais cette fois ils avaient un air coquin …

Aujourd'hui, Snowhite avait 18 ans. Les 7 nains étaient toujours très instruits et polis avec Snowhite. Quand ils sortent travailler à Mornign, ils ont promis une * énorme * surprise. Snowhite était anxieux. Soudain, la porte s'ouvre et les Sept Nains entrent …

Faltaba apenas un dia para suiversario de 18 aTos. Blanca de Nieve fuera siempre muy bien cuidada pour los enanitos. Ellos le prometieron una * grande * sorpresa para su fiesta de compleaTos. Al entardecer, llegaron. Tenian un brillo incomun en los ojos …

Faltava apenas um dia para our aniversario de 18 anos. Branca de Neve estva muito feliz e ansiosa, porque os 7 ans prometam uma * grande * surpresa. Comme cinco horas, os an�ezinhos voltaram do trabalho. Mas algo nao estava bem … Os sete an�ezinhos tinham um estranho brilho no olhar …

Joindre des noms:

enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exe

sexy virgin.scr
joke.exe
midgets.scr
dwarf4you.exe

blancheneige.exe
sexynain.scr
blanche.scr
nains.exe

branca de neve.scr
atchim.exe
dunga.scr
an�o porn�.scr

Ainsi que (selon la version du plugin):

Le message Sujet est une combinaison aléatoire de:

 Anna + sexe
 Raquel Darian sexy
 Xena chaud
 Xuxa le plus chaud
 Suzete cum
 éjaculation célèbre
 viol célébrité cornée
 cuir ... etc

Joindre le nom:

Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
célébrité rape.exe
leather.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-fucking.exe
amateurs.exe

Le nom de fichier joint peut également être un nom .EXE aléatoire huit octets, par exemple:

ADELHHAD.EXE
CFIMMHAG.EXE
DIEOPIDI.EXE
EABLLNEA.EXE
FKPODKFK.EXE
HJEOINHJ.EXE
OGNNFEOG.EXE
PFFCKEPF.EXE

Effet

Lien vers l'original

Découvrez les statistiques de la propagation des menaces dans votre région

Classe	Email-Worm
Plateforme	Win32
Description	Détails techniques C'est un ver Internet qui se propage aux messages électroniques. Le ver fonctionne uniquement sous les systèmes Win32. Le ver contient des composants (plugins) dans son code qui sont exécutés en fonction des besoins du ver, et ces composants peuvent être mis à jour à partir d'un site Web Internet. Les principales versions de ver sont cryptées avec une boucle de cryptage semi-polymorphique. Le ver contient les chaînes de texte: HYBRIS (c) Vecna Les cycles de vers La principale cible de ver sur un ordinateur est la bibliothèque WSOCK32.DLL. En infectant ce fichier, le ver: écrit lui-même à la fin de la dernière section de fichier crochets "connect", "recv", et "envoyer" des fonctions modifie l'adresse de routine d'entrée DLL (une routine qui est activée lors du chargement d'un fichier DLL) et crypte la routine d'entrée d'origine Si le ver n'est pas capable d'infecter WSOCK32.DLL (au cas où il est utilisé et est verrouillé pour l'écriture), le virus crée une copie de cette bibliothèque (une copie de WSOCK32.DLL avec un nom aléatoire), l'infecte et écrit un Renommez l'instruction au fichier WININIT.INI. Par conséquent, WSOCK32.DLL sera remplacé par une image infectée lors du prochain démarrage de Windows. Le ver crée également sa copie avec un nom aléatoire dans le répertoire système Windows et l'enregistre dans la clé de Registre RunOnce: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {Default} =% WinSystem% WormName ou HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {Par défaut} =% WinSystem% WormName où% WinSystem% est le répertoire système de Windows, et "WormName" est un nom aléatoire de huit symboles, par exemple: CCMBOIFM.EXE LPHBNGAE.EXE LFPCMOIF.EXE Il n'y a qu'une seule raison possible d'enregistrer une copie de ver supplémentaire dans la clé de registre "RunOnce": dans le cas où WSOCK32.DLL n'a pas été infecté lors du premier ver, et sa copie infectée n'a pas été créée pour une raison quelconque la copie terminera la tâche lors du prochain redémarrage de Windows. WSOCK32.DLL infecté Le ver intercepte les fonctions Windows qui établissent une connexion réseau, y compris Internet. Le ver intercepte les données qui sont envoyées et reçues, et les analyse pour les adresses e-mail. Lorsqu'une / des adresse (s) est (sont) détectée (s), le ver attend pendant un certain temps et envoie un message infecté à cette / ces adresse (s). Plugins La fonctionnalité du ver dépend des plugins qui sont stockés dans un corps de ver crypté avec un algorithme de chiffrement fort de type RSA avec une clé de 128 bits. Il y a jusqu'à 32 plugins qui peuvent être trouvés dans différentes versions de ver. Ces plugins effectuent différentes actions qui peuvent être mises à jour à partir d'une page Web: http://pleiku.vietmedia.com/bye/ donc la fonctionnalité complète du ver ne dépend que de son hôte capable de mettre à jour les plugins sur une page Web. Les plugins sur une page sont cryptés avec une crypto similaire à RSA. Le ver met également à jour ses plugins en utilisant le groupe de discussion alt.comp.virus. Le ver, actif sur une machine, se connecte à un serveur de news (en utilisant un des serveurs sélectionnés au hasard – il y a plus de 70 adresses dans la liste), convertit ses plugins en messages de newsgroups et les poste là. Les messages du ver ont un objet de type aléatoire, par exemple: encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR text LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH texte RFRE rebibmTCDOzGbCjSZ où les quatre premières corvées sont plugin "nom" et après quatre corvées sont une version "plugin" encodée. En plus de l'envoi, le ver lit ces messages depuis alt.comp.virus, obtient le plugin "name" et "version" et les compare avec les plugins actuellement utilisés par le ver. Dans le cas où le groupe de discussion a un message avec une version plus élevée du plugin, le ver l'extrait et remplace celui existant. Le ver utilise donc alt.comp.virus pour mettre à jour ses plugins. Le ver crée également ces plugins en tant que fichiers disque dans le répertoire système de Windows. Ils ont aussi un nom aléatoire, mais le ver continue à pouvoir y accéder. Les noms peuvent ressembler à ceci: BIBGAHNH.IBG DACMAPKO.ACM GAFIBPFM.AFI IMALADOL.MAL MALADOLI.ALA Il existe plusieurs plugins connus qui: 1. Infecter toutes les archives ZIP et RAR sur tous les lecteurs disponibles de C: à Z :. Lors de l'infection, le ver renomme les fichiers EXE dans l'archive avec une extension .EX $ et ajoute sa copie avec une extension .EXE à l'archive (méthode d'infection associée). 2. Envoyez des messages avec des plugins encodés au groupe neews "alt.comp.virus", et obtenez de nouveaux plugins à partir de là. 3. Répandez le virus sur les machines distantes auxquelles est installé un cheval de Troie de porte dérobée SubSeven. Le plugin détecte de telles machines sur le Net, et en utilisant les commandes SubSeven, télécharge une copie de ver sur la machine et l'engendre là-dedans. 4. Chiffrez les copies de ver avec une boucle de chiffrement polymorphe avant d'envoyer la copie jointe à un courrier électronique. 5. En fonction de la date et de l'heure du système (les 16 et 24 septembre et à 59 minutes de chaque heure à partir de l'année 2001 – dans les plugins connus), l'effet "spirale" est exécuté. Le plugin crée un nom .EXE aléatoire de 8 octets dans le répertoire système Windows, décompresse le code EXE "effet spirale" et enregistre ce fichier dans le système: sous Win9x: dans le fichier WIN.INI dans [windows] "run =" ligne sous WinNT: dans le registre système dans "Run =" clé 6. Affecte les fichiers DOS EXE et Windows PE EXE. Le ver les affecte de sorte qu'ils deviennent des compte-gouttes de ver. Quand ils sont lancés, ils déposent le fichier EXE du ver dans le répertoire TEMP et l'exécutent. Tout en affectant DOS fichier EXE, le plugin ajoute le code du compte-gouttes et le corps de ver à la fin du fichier. Ces fichiers sont désinfectables. En affectant le fichier EXE de Windows PE, le plugin remplace la section de code de fichier pour obtenir un espace pour le code de ver, et écrit le code du compte de vers à cet espace (si sa taille est suffisante). Le plugin ne touche pas l'en-tête du fichier (y compris l'adresse du point d'entrée) et n'augmente pas la taille du fichier. En outre, il a une routine anti-CRC (chechsum) qui remplit des données spéciales dans le code de plugin de sorte que le CRC de fichier devient le même pour peu d'algorithmes de CRC couramment utilisés. Cela signifie que certains vérificateurs d'intégrité ne détecteront pas les modifications dans les fichiers concernés: la longueur du fichier et le CRC du corps de fichier restent les mêmes que sur un fichier propre. Lorsque ce fichier EXE PE est exécuté, le code du dropper supprime et active le ver, puis restaure (décompresse) la section de code et renvoie le contrôle au fichier hôte. 7. Sélectionnez aléatoirement un objet, un texte de message et un nom joint lors de l'envoi des copies de ver avec des messages électroniques: De: Hahaha [hahaha@sexyfun.net] Sujets: Snowhite et les sept nains – L'histoire vraie! Branca de Neve porn�! Enanito si, pero con que pedazo! Les 7 coquir nains Textes de message: C'etait un jour avant son huit huitieme anniversaire. Les 7 nains, qui ont aidé à 'blanche neige' toutes ces années après qu'elle soit enfuit de chez sa belle mère, lui a offert une * grosse * surprise. A 5 heures comme toujours, ils sont rentrés du travail. Mais cette fois ils avaient un air coquin … Aujourd'hui, Snowhite avait 18 ans. Les 7 nains étaient toujours très instruits et polis avec Snowhite. Quand ils sortent travailler à Mornign, ils ont promis une * énorme * surprise. Snowhite était anxieux. Soudain, la porte s'ouvre et les Sept Nains entrent … Faltaba apenas un dia para suiversario de 18 aTos. Blanca de Nieve fuera siempre muy bien cuidada pour los enanitos. Ellos le prometieron una * grande * sorpresa para su fiesta de compleaTos. Al entardecer, llegaron. Tenian un brillo incomun en los ojos … Faltava apenas um dia para our aniversario de 18 anos. Branca de Neve estva muito feliz e ansiosa, porque os 7 ans prometam uma * grande * surpresa. Comme cinco horas, os an�ezinhos voltaram do trabalho. Mas algo nao estava bem … Os sete an�ezinhos tinham um estranho brilho no olhar … Joindre des noms: enano.exe enano porno.exe blanca de nieve.scr enanito fisgon.exe sexy virgin.scr joke.exe midgets.scr dwarf4you.exe blancheneige.exe sexynain.scr blanche.scr nains.exe branca de neve.scr atchim.exe dunga.scr an�o porn�.scr Ainsi que (selon la version du plugin): Le message Sujet est une combinaison aléatoire de: Anna + sexe Raquel Darian sexy Xena chaud Xuxa le plus chaud Suzete cum éjaculation célèbre viol célébrité cornée cuir ... etc Joindre le nom: Anna.exe Raquel Darian.exe Xena.exe Xuxa.exe Suzete.exe famous.exe célébrité rape.exe leather.exe sex.exe sexy.exe hot.exe hottest.exe cum.exe cumshot.exe horny.exe anal.exe gay.exe oral.exe pleasure.exe asian.exe lesbians.exe teens.exe virgins.exe boys.exe girls.exe SM.exe sado.exe cheerleader.exe orgy.exe black.exe blonde.exe sodomized.exe hardcore.exe slut.exe doggy.exe suck.exe messy.exe kinky.exe fist-fucking.exe amateurs.exe Le nom de fichier joint peut également être un nom .EXE aléatoire huit octets, par exemple: ADELHHAD.EXE CFIMMHAG.EXE DIEOPIDI.EXE EABLLNEA.EXE FKPODKFK.EXE HJEOINHJ.EXE OGNNFEOG.EXE PFFCKEPF.EXE
	Lien vers l'original
	Découvrez les statistiques de la propagation des menaces dans votre région

Email-Worm.Win32.Hybris

Détails techniques

WSOCK32.DLL infecté

Plugins