Kaspersky Threats

Clase

Plataforma

Descripción

Detalles técnicos

Este es un gusano de Internet que se propaga adjunto a los mensajes de correo electrónico. El gusano funciona solo con sistemas Win32. El gusano contiene componentes (complementos) en su código que se ejecutan en función de las necesidades del gusano, y estos componentes se pueden actualizar desde un sitio web de Internet.

Las principales versiones de gusanos están cifradas con un bucle de cifrado semimicomórfico.

El gusano contiene las cadenas de texto:

HYBRIS
(c) Vecna

Las corridas de gusanos

El objetivo principal del gusano en una computadora es la biblioteca WSOCK32.DLL. Al infectar este archivo, el gusano:

se escribe al final de la última sección del archivo
las funciones "conectar", "recv" y "enviar" de ganchos
modifica la dirección de rutina de entrada de DLL (una rutina que se activa cuando se carga un archivo DLL) y encripta la rutina de entrada original

Si el gusano no puede infectar WSOCK32.DLL (en caso de que esté en uso y esté bloqueado para su escritura), el virus crea una copia de esa biblioteca (una copia de WSOCK32.DLL con nombre aleatorio), lo infecta y escribe una "cambiar el nombre" de la instrucción al archivo WININIT.INI. Como resultado, WSOCK32.DLL será reemplazado con una imagen infectada en el siguiente inicio de Windows.

El gusano también crea su copia con un nombre aleatorio en el directorio del sistema de Windows y lo registra en la clave de registro RunOnce:

 HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {Default} =% WinSystem% WormName

o

 HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {Default} =% WinSystem% WormName

donde% WinSystem% es el directorio del sistema de Windows, y "WormName" es un nombre aleatorio de ocho símbolos, por ejemplo:

CCMBOIFM.EXE
LPHBNGAE.EXE
LFPCMOIF.EXE

Solo existe una razón posible para registrar una copia de gusano adicional en la clave de registro "RunOnce": en caso de que WSOCK32.DLL no se haya infectado durante la primera ejecución del gusano y su copia infectada no se ha creado por algún motivo, el gusano "RunOnce" copia completará la tarea el próximo reinicio de Windows.

Infectado WSOCK32.DLL

El gusano intercepta las funciones de Windows que establecen una conexión de red, incluido Internet. El gusano intercepta los datos que se envían y reciben, y los escanea en busca de direcciones de correo electrónico. Cuando se detecta una dirección o direcciones, el gusano espera un tiempo y luego envía un mensaje infectado a esa / esas dirección (es).

Complementos

La funcionalidad del gusano depende de los complementos que se almacenan en el cuerpo del gusano encriptados con un algoritmo criptográfico fuerte tipo RSA con una clave de 128 bits. Hay hasta 32 complementos que se pueden encontrar en diferentes versiones de gusanos. Estos complementos realizan diferentes acciones que pueden ser actualizaciones desde una página web:

http://pleiku.vietmedia.com/bye/

por lo que la funcionalidad completa del gusano depende solo de su host que pueda actualizar los complementos en una página web. Los complementos de una página también están encriptados con cifrado tipo RSA.

El gusano también actualiza sus complementos utilizando el grupo de noticias alt.comp.virus. El gusano, estando activo en una máquina, se conecta a un servidor de noticias (mediante el uso de uno de los servidores seleccionados al azar – hay más de 70 direcciones en la lista), convierte sus complementos a mensajes de grupos de noticias y los publica allí. Los mensajes del gusano tienen un tema similar al azar, por ejemplo:

encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD
encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR
texto LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH
texto RFRE rebibmTCDOzGbCjSZ

donde los primeros cuatro quehaceres son "nombre" de complemento y los siguientes cuatro tareas son un complemento codificado "versión". Además de enviar, el gusano lee dichos mensajes de alt.comp.virus, obtiene el complemento "nombre" y "versión" y los compara con los complementos que utiliza actualmente el gusano. En caso de que el grupo de noticias tenga un mensaje con una versión de complemento más alta, el gusano lo extrae y reemplaza al existente. Entonces, el gusano usa alt.comp.virus para actualizar sus complementos.

El gusano también crea estos complementos como archivos de disco en el directorio del sistema de Windows. También tienen un nombre aleatorio, pero el gusano sigue teniendo acceso a ellos. Los nombres pueden tener el siguiente aspecto:

BIBGAHNH.IBG
DACMAPKO.ACM
GAFIBPFM.AFI
IMALADOL.MAL
MALADOLI.ALA

Hay varios complementos conocidos diferentes que:

1. Infecte todos los archivos ZIP y RAR en todas las unidades disponibles desde C: hasta Z :. Al infectar, el gusano cambia el nombre de los archivos EXE en el archivo con una extensión .EX $ y agrega su copia con una extensión .EXE al archivo (método de infección complementario).

2. Envíe mensajes con complementos codificados al grupo de noticias "alt.comp.virus" y obtenga nuevos complementos desde allí.

3. Extienda el virus a máquinas remotas que tengan instalado un troyano de puerta trasera SubSeven. El complemento detecta tales máquinas en la red y, utilizando los comandos de SubSeven, carga una copia de gusano en la máquina y la genera allí.

4. Encripte copias de gusanos con un ciclo de cifrado polimórfico antes de enviar la copia adjunta a un correo electrónico.

5. Dependiendo de la fecha y hora del sistema (el 16 y 24 de septiembre, y en 59 minutos de cada hora a partir del año 2001 – en los complementos conocidos) se ejecuta el efecto "spirale".

El complemento crea un nombre aleatorio de 8 bytes .EXE en el directorio del sistema de Windows, descomprime el código EXE "efecto spirale" y registra ese archivo en el sistema:

en Win9x: en el archivo WIN.INI en [windows] "run =" línea en WinNT: en el registro del sistema en la tecla "Ejecutar ="

6. Afecta los archivos DOS EXE y Windows PE EXE. El gusano les afecta para que se conviertan en goteros de gusano. Cuando se ejecutan, sueltan el archivo EXE del gusano en el directorio TEMP y lo ejecutan.

Mientras afecta el archivo EXE de DOS, el complemento agrega el código del cuentagotas y el cuerpo del gusano al final del archivo. Estos archivos son desinfectables.

Al afectar el archivo EXE de Windows PE, el complemento sobrescribe la sección del código del archivo para obtener un espacio para el código del gusano y escribe el código del gusano en ese espacio (si tiene el tamaño suficiente). El complemento no toca el encabezado del archivo (incluida la dirección del punto de entrada) y no aumenta el tamaño del archivo. Además, tiene una rutina anti-CRC (chechsum) que completa los datos especiales en el código del complemento para que el archivo CRC se convierta en el mismo para algunos algoritmos CRC comunes utilizados. Esto significa que algunas comprobaciones de integridad no detectarán cambios en los archivos afectados: la longitud del archivo y el cuerpo del archivo CRC se mantienen igual que en el archivo limpio.

Cuando se ejecuta dicho archivo PE EXE, el código del cuentagotas desactiva y activa el gusano, luego restaura (descomprime) la sección del código y devuelve el control al archivo del host.

7. Seleccione aleatoriamente un Asunto, Texto del mensaje y Adjuntar nombre al enviar las copias del gusano con mensajes de correo electrónico:

De:

Hahaha [hahaha@sexyfun.net]

Asignaturas:

Snowhite y los siete enanitos: ¡la historia REAL!

Branca de Neve porno�!

Enanito si, pero con que pedazo!

Les 7 coquir nains

Mensajes de texto:

C'etait un jour avant son dix huitieme anniversaire. Les 7 nains, qui avaient aid� 'blanche neige' toutes ces ann�es qu'elle qu'elle se soit enfuit de chez sa belle m�re, lui avaient promis une * grosse * surprise. A 5 heures comme toujours, ils sont rentr�s du travail. Mais cette fois ils avaient un air coquin …

Hoy, Snowhite cumplió 18 años. Los 7 Enanitos siempre fueron educados y educados con Snowhite. Cuando salen a trabajar a la mañana, prometieron una * gran * sorpresa. Snowhite estaba ansioso. Súbitamente, la puerta se abre, y los Siete Enanitos entran …

Faltaba un día para su aniversario de 18 aTos. Blanca de Nieve fuera siempre muy bien cuidada por los enanitos. Ellos le prometieron una * grande * sorpresa para su fiesta de complementos. Al entardecer, llegaron. Tenian un brillo incomun en los ojos …

Faltava apenas un día para el aniversario de 18 años. Branca de Neve estava muito feliz y ansiosa, porque os 7 an�es prometeram uma * grande * surpresa. Como cinco horas, os an�ezinhos voltaram do trabalho. Mas algo nao estava bem … Os sete an�ezinhos tinham um estranho brilho no olhar …

Adjuntar nombres:

enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exe

sexy virgin.scr
joke.exe
midgets.scr
dwarf4you.exe

blancheneige.exe
sexynain.scr
blanche.scr
nains.exe

branca de neve.scr
atchim.exe
dunga.scr
an�o porn�.scr

Así como (dependiendo de la versión del complemento):

El mensaje Asunto es una combinación aleatoria de:

 Anna + sexo
 Raquel Darian sexy
 Xena caliente
 Xuxa más caliente
 Suzete cum
 famosa corrida
 celebridad violación cachonda
 cuero ... etc.

Adjuntar nombre:

Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
celebridad rape.exe
leather.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-fucking.exe
amateurs.exe

El nombre de archivo adjunto también puede ser un nombre aleatorio de ocho bytes .EXE, por ejemplo:

ADELHHAD.EXE
CFIMMHAG.EXE
DIEOPIDI.EXE
EABLLNEA.EXE
FKPODKFK.EXE
HJEOINHJ.EXE
OGNNFEOG.EXE
PFFCKEPF.EXE

Efecto

Enlace al original

Descubra las estadísticas de las amenazas que se propagan en su región

Clase	Email-Worm
Plataforma	Win32
Descripción	Detalles técnicos Este es un gusano de Internet que se propaga adjunto a los mensajes de correo electrónico. El gusano funciona solo con sistemas Win32. El gusano contiene componentes (complementos) en su código que se ejecutan en función de las necesidades del gusano, y estos componentes se pueden actualizar desde un sitio web de Internet. Las principales versiones de gusanos están cifradas con un bucle de cifrado semimicomórfico. El gusano contiene las cadenas de texto: HYBRIS (c) Vecna Las corridas de gusanos El objetivo principal del gusano en una computadora es la biblioteca WSOCK32.DLL. Al infectar este archivo, el gusano: se escribe al final de la última sección del archivo las funciones "conectar", "recv" y "enviar" de ganchos modifica la dirección de rutina de entrada de DLL (una rutina que se activa cuando se carga un archivo DLL) y encripta la rutina de entrada original Si el gusano no puede infectar WSOCK32.DLL (en caso de que esté en uso y esté bloqueado para su escritura), el virus crea una copia de esa biblioteca (una copia de WSOCK32.DLL con nombre aleatorio), lo infecta y escribe una "cambiar el nombre" de la instrucción al archivo WININIT.INI. Como resultado, WSOCK32.DLL será reemplazado con una imagen infectada en el siguiente inicio de Windows. El gusano también crea su copia con un nombre aleatorio en el directorio del sistema de Windows y lo registra en la clave de registro RunOnce: HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRunOnce {Default} =% WinSystem% WormName o HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionRunOnce {Default} =% WinSystem% WormName donde% WinSystem% es el directorio del sistema de Windows, y "WormName" es un nombre aleatorio de ocho símbolos, por ejemplo: CCMBOIFM.EXE LPHBNGAE.EXE LFPCMOIF.EXE Solo existe una razón posible para registrar una copia de gusano adicional en la clave de registro "RunOnce": en caso de que WSOCK32.DLL no se haya infectado durante la primera ejecución del gusano y su copia infectada no se ha creado por algún motivo, el gusano "RunOnce" copia completará la tarea el próximo reinicio de Windows. Infectado WSOCK32.DLL El gusano intercepta las funciones de Windows que establecen una conexión de red, incluido Internet. El gusano intercepta los datos que se envían y reciben, y los escanea en busca de direcciones de correo electrónico. Cuando se detecta una dirección o direcciones, el gusano espera un tiempo y luego envía un mensaje infectado a esa / esas dirección (es). Complementos La funcionalidad del gusano depende de los complementos que se almacenan en el cuerpo del gusano encriptados con un algoritmo criptográfico fuerte tipo RSA con una clave de 128 bits. Hay hasta 32 complementos que se pueden encontrar en diferentes versiones de gusanos. Estos complementos realizan diferentes acciones que pueden ser actualizaciones desde una página web: http://pleiku.vietmedia.com/bye/ por lo que la funcionalidad completa del gusano depende solo de su host que pueda actualizar los complementos en una página web. Los complementos de una página también están encriptados con cifrado tipo RSA. El gusano también actualiza sus complementos utilizando el grupo de noticias alt.comp.virus. El gusano, estando activo en una máquina, se conecta a un servidor de noticias (mediante el uso de uno de los servidores seleccionados al azar – hay más de 70 direcciones en la lista), convierte sus complementos a mensajes de grupos de noticias y los publica allí. Los mensajes del gusano tienen un tema similar al azar, por ejemplo: encr HVGT GTeLKzurGbGvqnuDqbivKfCHWbizyXiPOvKD encr CMBK bKfOjafCjyfWnqLqzSTWTuDmfefyvurSLeXGHqR texto LNLM LmnajmnKDyfebuLuPaPmzaLyXGXKPSLSXWjKvWnyDWbGH texto RFRE rebibmTCDOzGbCjSZ donde los primeros cuatro quehaceres son "nombre" de complemento y los siguientes cuatro tareas son un complemento codificado "versión". Además de enviar, el gusano lee dichos mensajes de alt.comp.virus, obtiene el complemento "nombre" y "versión" y los compara con los complementos que utiliza actualmente el gusano. En caso de que el grupo de noticias tenga un mensaje con una versión de complemento más alta, el gusano lo extrae y reemplaza al existente. Entonces, el gusano usa alt.comp.virus para actualizar sus complementos. El gusano también crea estos complementos como archivos de disco en el directorio del sistema de Windows. También tienen un nombre aleatorio, pero el gusano sigue teniendo acceso a ellos. Los nombres pueden tener el siguiente aspecto: BIBGAHNH.IBG DACMAPKO.ACM GAFIBPFM.AFI IMALADOL.MAL MALADOLI.ALA Hay varios complementos conocidos diferentes que: 1. Infecte todos los archivos ZIP y RAR en todas las unidades disponibles desde C: hasta Z :. Al infectar, el gusano cambia el nombre de los archivos EXE en el archivo con una extensión .EX $ y agrega su copia con una extensión .EXE al archivo (método de infección complementario). 2. Envíe mensajes con complementos codificados al grupo de noticias "alt.comp.virus" y obtenga nuevos complementos desde allí. 3. Extienda el virus a máquinas remotas que tengan instalado un troyano de puerta trasera SubSeven. El complemento detecta tales máquinas en la red y, utilizando los comandos de SubSeven, carga una copia de gusano en la máquina y la genera allí. 4. Encripte copias de gusanos con un ciclo de cifrado polimórfico antes de enviar la copia adjunta a un correo electrónico. 5. Dependiendo de la fecha y hora del sistema (el 16 y 24 de septiembre, y en 59 minutos de cada hora a partir del año 2001 – en los complementos conocidos) se ejecuta el efecto "spirale". El complemento crea un nombre aleatorio de 8 bytes .EXE en el directorio del sistema de Windows, descomprime el código EXE "efecto spirale" y registra ese archivo en el sistema: en Win9x: en el archivo WIN.INI en [windows] "run =" línea en WinNT: en el registro del sistema en la tecla "Ejecutar =" 6. Afecta los archivos DOS EXE y Windows PE EXE. El gusano les afecta para que se conviertan en goteros de gusano. Cuando se ejecutan, sueltan el archivo EXE del gusano en el directorio TEMP y lo ejecutan. Mientras afecta el archivo EXE de DOS, el complemento agrega el código del cuentagotas y el cuerpo del gusano al final del archivo. Estos archivos son desinfectables. Al afectar el archivo EXE de Windows PE, el complemento sobrescribe la sección del código del archivo para obtener un espacio para el código del gusano y escribe el código del gusano en ese espacio (si tiene el tamaño suficiente). El complemento no toca el encabezado del archivo (incluida la dirección del punto de entrada) y no aumenta el tamaño del archivo. Además, tiene una rutina anti-CRC (chechsum) que completa los datos especiales en el código del complemento para que el archivo CRC se convierta en el mismo para algunos algoritmos CRC comunes utilizados. Esto significa que algunas comprobaciones de integridad no detectarán cambios en los archivos afectados: la longitud del archivo y el cuerpo del archivo CRC se mantienen igual que en el archivo limpio. Cuando se ejecuta dicho archivo PE EXE, el código del cuentagotas desactiva y activa el gusano, luego restaura (descomprime) la sección del código y devuelve el control al archivo del host. 7. Seleccione aleatoriamente un Asunto, Texto del mensaje y Adjuntar nombre al enviar las copias del gusano con mensajes de correo electrónico: De: Hahaha [hahaha@sexyfun.net] Asignaturas: Snowhite y los siete enanitos: ¡la historia REAL! Branca de Neve porno�! Enanito si, pero con que pedazo! Les 7 coquir nains Mensajes de texto: C'etait un jour avant son dix huitieme anniversaire. Les 7 nains, qui avaient aid� 'blanche neige' toutes ces ann�es qu'elle qu'elle se soit enfuit de chez sa belle m�re, lui avaient promis une * grosse * surprise. A 5 heures comme toujours, ils sont rentr�s du travail. Mais cette fois ils avaient un air coquin … Hoy, Snowhite cumplió 18 años. Los 7 Enanitos siempre fueron educados y educados con Snowhite. Cuando salen a trabajar a la mañana, prometieron una * gran * sorpresa. Snowhite estaba ansioso. Súbitamente, la puerta se abre, y los Siete Enanitos entran … Faltaba un día para su aniversario de 18 aTos. Blanca de Nieve fuera siempre muy bien cuidada por los enanitos. Ellos le prometieron una * grande * sorpresa para su fiesta de complementos. Al entardecer, llegaron. Tenian un brillo incomun en los ojos … Faltava apenas un día para el aniversario de 18 años. Branca de Neve estava muito feliz y ansiosa, porque os 7 an�es prometeram uma * grande * surpresa. Como cinco horas, os an�ezinhos voltaram do trabalho. Mas algo nao estava bem … Os sete an�ezinhos tinham um estranho brilho no olhar … Adjuntar nombres: enano.exe enano porno.exe blanca de nieve.scr enanito fisgon.exe sexy virgin.scr joke.exe midgets.scr dwarf4you.exe blancheneige.exe sexynain.scr blanche.scr nains.exe branca de neve.scr atchim.exe dunga.scr an�o porn�.scr Así como (dependiendo de la versión del complemento): El mensaje Asunto es una combinación aleatoria de: Anna + sexo Raquel Darian sexy Xena caliente Xuxa más caliente Suzete cum famosa corrida celebridad violación cachonda cuero ... etc. Adjuntar nombre: Anna.exe Raquel Darian.exe Xena.exe Xuxa.exe Suzete.exe famous.exe celebridad rape.exe leather.exe sex.exe sexy.exe hot.exe hottest.exe cum.exe cumshot.exe horny.exe anal.exe gay.exe oral.exe pleasure.exe asian.exe lesbians.exe teens.exe virgins.exe boys.exe girls.exe SM.exe sado.exe cheerleader.exe orgy.exe black.exe blonde.exe sodomized.exe hardcore.exe slut.exe doggy.exe suck.exe messy.exe kinky.exe fist-fucking.exe amateurs.exe El nombre de archivo adjunto también puede ser un nombre aleatorio de ocho bytes .EXE, por ejemplo: ADELHHAD.EXE CFIMMHAG.EXE DIEOPIDI.EXE EABLLNEA.EXE FKPODKFK.EXE HJEOINHJ.EXE OGNNFEOG.EXE PFFCKEPF.EXE
	Enlace al original
	Descubra las estadísticas de las amenazas que se propagan en su región

Email-Worm.Win32.Hybris

Detalles técnicos

Infectado WSOCK32.DLL

Complementos