Hybris病毒

該病毒為一網路蠕蟲,可以通過電子郵件進行傳播。它只在Win32系統下運行。 該病毒給每一個郵件系統中的人傳送一個包含“隨機名.exe ”的郵件,此檔案一旦運行,會感染系統目錄下的Wsock32.dll檔案。蠕蟲的代碼中包含外掛程式,用以執行該蠕蟲,並且可以從Internet的一個網站上下載。該蠕蟲的主要版本採用了半—多態加密技術。這種下載加密組件的方式與第一次使用該方法的W95/Babylonia病毒相似。

病毒名稱:

Hybris 

別名:

I-Worm.Hybris , TROJ_HYBRIS.A, W32/Hybris.gen.dll@M, Worm.Hybris W32/Hybris.gen@M, W32/Hybris.plugin@M  

病毒特點:

蠕蟲的主要感染目標是wsock32.dll動態程式庫。在感染程式庫的同時,它還將自身寫入檔案最後部分的結尾(附著了"connect", "recv", "send"功能);修改動態程式庫的入口地址並對原入口地址進行加密。
如果蠕蟲啟動時無法感染wsock32.dll,說明該檔案正在被使用,那么該蠕蟲將創建wsock32.dll的副本(檔案名稱由8個隨機字母組成)感染它並將"rename" 指令寫入Wininit.ini檔案中。那么WSOCK32.DLL將在系統再次啟動時被替換。
蠕蟲同樣在Windows system目錄下以隨機檔案名稱創建自身的副本,並在註冊表中添加一下鍵值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
= %WinSystem%\WormName

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
= %WinSystem%\WormName
其中"WormName" 是隨機檔案名稱。
當蠕蟲處於激活狀態時,它將截獲Windows 用於建立網路連線的函式,包括Internet連線。蠕蟲截獲傳送和接收的數據並掃描其email地址,一旦地址被檢查到,蠕蟲將等待一段時間然後將一個染毒的訊息(擴展名為.EXE或 .SCR)傳送給這些地址。
當Hybris被啟動後,它將從站點伺服器上下載一個名為INDEX.TXT的文本檔案,其中包含了蠕蟲下載的其他有用的檔案列表。
該病毒包含下列代碼:
HYBRIS
(c) Vecna

相關詞條

相關搜尋

熱門詞條

聯絡我們