概述
發現: 2000 年 12 月 21 日
更新: 2007 年 2 月 13 日 11:35:10 AM
別名: I-Worm.Hybris.plugin 【Kaspersk, W32/Hybris.plugin@MM 【McAfee】, WORM_HYBRIS.PLG 【Trend】, W32/Hybr-Plugin 【Sophos】, Win32.Hybris.plugin 【Computer
類型: Worm
感染長度: varies
受感染的系統: Windows 95, Windows 98, Windows Me
由於提交率的降低,Symantec 安全回響中心自 2004 年 1 月 6 日起,將此威脅的級別從 3 類降為 2 類。
W95.Hybris.plugin 是一種用於檢測 W95.Hybris.gen 蠕蟲下載的任何加密外掛程式的普通程式。
防護
* 病毒定義(每周 LiveUpdate™) 2000 年 12 月 21 日
* 病毒定義(智慧型更新程式) 2000 年 12 月 21 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Moderate
* 清除: Difficult
損壞
* 損壞級別: Low
分發
* 分發級別: High
在感染系統後,W95.Hybris.gen 蠕蟲會嘗試連線到新聞組 alt.comp.virus。如果蠕蟲連線成功,就會執行下列操作:
1. 將自己的加密外掛程式上載到此新聞組。
2. 瀏覽新聞組訊息的主題標題,查找其他的附加外掛程式,並試圖匹配一種特定的格式。主題標題將指定所附加外掛程式的版本號。
3. 如果找到外掛程式的更新版本,蠕蟲會下載更新的模組並更新自己的行為。
注意:外掛程式的種類有許多種,其特徵各不相同。最常見的一種是顯示一個覆蓋 Windows 桌面的大螺旋圖像,並且阻止您使用 Windows。另一種外掛程式與其行為相似,不過顯示的是一個黑色實心圓。
外掛程式可能執行下列一種或多種操作:
* 產生一個螺旋圖像。螺旋圖像檔案運行的時間取決於系統的日期和時間(從 2001 年開始,9 月 16 日和 24日以及每小時的第 59 分鐘)。執行時,最初會載入 OpenGL 庫(用於繪製大的黑白相間的螺旋圖像)。此外掛程式還會將自身註冊為服務,所以在“關閉程式”對話框中不會顯示。
* 感染 DOS 可執行程式。DOS .exe 感染是一種相當簡單的掛接技術。用一個 16 位的小掛接例程即可將病毒代碼附加到檔案末尾。該例程會在 \Temp 資料夾內創建一個擴展名為 .exe 的臨時檔案,然後執行此檔案。此後,該例程會刪除此臨時執行檔。這樣,wsock32.dll 檔案就感染了此蠕蟲。
* 感染 PE 可執行程式。PE 可執行程式的檔案感染過程複雜的多。只有代碼部分足夠長的大型 PE 檔案才會受到感染。病毒感染外掛程式會擠滿原始碼區,如果位置合適,還會覆蓋該代碼區。這種複雜的非啟發式感染技術很難修復,但也不是不可能修復。目前, SARC 將該外掛程式檢測為 W95.Hybris.F,並且已經創建了一種防毒工具來刪除此外掛程式。單擊此處可獲得 W95.HybrisF 修復工具。
* 感染從 C:到 Z:的所有可用驅動器上的全部 .zip 和 .rar 檔案檔案。當此蠕蟲感染 .zip 和 .rar 檔案時,會將檔案中的 .exe 檔案重命名為擴展名為 .ex$ 的檔案,並以 .exe 為擴展名將該蠕蟲的副本添加到此檔案檔案中(這是伴隨感染)。
* 將包含加密外掛程式的郵件傳送到 alt.comp.virus 新聞組,然後從那裡獲得新的外掛程式。
* 將蠕蟲傳播到感染了 Backdoor.SubSeven 特洛伊木馬程式的遠程計算機上。此外掛程式會在 Web 上檢測此類計算機,並使用 SubSeven 命令將蠕蟲的副本上載到感染了 SubSeven 的計算機上。
* 用多態的加密環將蠕蟲副本加密,再以電子郵件附屬檔案的形式將其傳送給他人。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
普通防毒指導:
1. 運行 LiveUpdate,確保您的病毒定義是最新的。
2. 確保 Norton AntiVirus 設定為掃描所有檔案。
3. 以安全模式重新啟動計算機 (Windows 95/98/Me)。
4. 運行完整的系統掃描。
* 如果 Norton AntiVirus 檢測到 W95.HybrisF,則重新啟動進入正常模式,然後下載並運行 W95.HybrisF 修復工具。此工具將修復被 W95.HybrisF.plugin 病毒感染的所有 Windows 執行檔。
* 如果 Norton AntiVirus 檢測到 W95.HybrisF 以外的感染,則選擇修復所有受感染檔案。如果 Norton AntiVirus 不能修復這些檔案,則選擇將其刪除。
5. 當掃描完成後,重新啟動進入正常模式。
刪除黑白相間螺旋或黑色圓圖像指導:
螺旋圖像或圓圖像是從 Win.ini 檔案的 run= 行載入的。在大多數情況下,因為螺旋圖像會阻止您打開程式,所以需要:
1. 運行 LiveUpdate,然後運行完整的系統掃描。
2. 以安全模式重新啟動計算機。
3. 確保 Windows 設定為顯示所有檔案。
4. 從 Win.ini 檔案的 Run 行刪除對外掛程式的引用。
5. 查找並刪除外掛程式本身。
6. 從 Cab 檔案中提取 Wsock32.dll 檔案。
7. 運行 LiveUpdate,然後運行完整的系統掃描。
更新和掃描:
1. 運行 LiveUpdate,確保您的病毒定義是最新的。
2. 啟動 Norton AntiVirus (NAV),然後運行完整的系統掃描,確保 NAV 設定為掃描所有檔案。
3. 如果有任何檔案被檢測為受到感染,則單擊“修復”。
在安全模式下重新啟動計算機:
* Windows 95:
1. 退出所有程式。
2. 單擊“開始”,然後單擊“關閉系統”。“關閉 Windows”對話框出現。
3. 單擊“重新啟動計算機”,然後單擊“是”。
4. 當螢幕上出現“正在啟動 Windows 95…”時,按 F8 鍵。將出現 Windows 95 啟動選單。
5. 按下與安全模式對應的數字,然後按 Enter 鍵。Windows 將以安全模式啟動。
* Windows 98:
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入 msconfig,然後單擊“確定”。“系統配置實用程式”對話框出現。
3. 在“常規”選項卡上單擊“高級”。
4. 選中“啟用‘啟動’選單”,單擊“確定”,然後再次單擊“確定”。
5. 退出所有程式。
6. 單擊“開始”,然後單擊“關閉系統”。將出現“關閉 Windows”對話框。
7. 單擊“重新啟動計算機”,然後單擊“是”。計算機將重新啟動。
8. 當 Windows 98 啟動選單出現時,按下與安全模式對應的數字,然後按 Enter 鍵。Windows 將以安全模式啟動。
將 Windows 設定為顯示所有檔案:
1. 啟動 Windows 資源管理器。
2. 單擊“查看”選單 (Windows 95/98) 或“工具”選單 (Windows Me),然後單擊“選項”或“資料夾選項”。
3. 單擊“查看”選項卡,如果必要,取消選中“隱藏已知檔案類型的擴展名”。
4. 單擊“顯示所有檔案”,再單擊“確定”。
編輯 Win.ini 檔案:
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入 sysedit,然後單擊“確定”。
3. 單擊 Win.ini 檔案的標題欄。
4. 在 【windows】 部分,找到 Run= 行,注意等號 (=) 後面的內容。例如,可能出現:
run=C:\Windows\System\amiaamia.exe
記錄下檔案名稱,如amiaamia.exe。
5. 將游標置於等號 (=) 右側並刪除其後面的文本。完成後,該行應如下所示:
run=
6. 單擊“檔案”選單,然後單擊“退出”。當詢問是否保存所做更改時,單擊“是”。
刪除外掛程式檔案:
1. 單擊“開始”,指向“查找”,然後單擊“檔案或資料夾”。
2. 請確保“搜尋”設定為 (C:),並且選中了“包含子資料夾”。
3. 在“名稱”對話框中,鍵入上一部分步驟 4 中記錄的檔案名稱。
注意:上一部分步驟 4 中的檔案名稱僅為一個示例。在 Win.ini 檔案中生成這一項的外掛程式會創建一個比較隨機的檔案名稱。(檔案名稱並不是完全隨機的,因為該檔案名稱已被報告過多次。)檔案名稱通常由八個字母組成,擴展名為 .exe。這八個字母實際由兩個相同的四字母序列組成。例如:
o Gbpkgbpk.exe
o Aboaaboa.exe
o Enpeenpe.exe
o Agaiagai.exe
4. 單擊“開始查找”。
5. 找到檔案後,將其選定,按 Delete 鍵,然後單擊“是”確認。
6. 以正常模式重新啟動計算機。
注意:如果使用的是 Microsoft 系統配置實用程式來啟用啟動選單,則此時可以禁用啟動選單。這僅適用於 Windows 98 用戶。請執行下列操作:
1. 單擊“開始”,然後單擊“運行”。
2. 鍵入 msconfig,然後單擊“確定”。“系統配置實用程式”對話框出現。
3. 在“常規”選項卡上單擊“高級”。
4. 取消選中“啟用‘啟動’選單”,單擊“確定”,然後再次單擊“確定”。
5. 重新啟動計算機。
提取 Wsock32.dll 檔案的新副本:
此操作非常必要,因為該檔案易被病毒感染,而在 Internet 訪問以及計算機使用方面,該檔案至關重要。需要在 DOS 提示符下使用 Extract 命令,從 Windows 安裝檔案中還原這些檔案的完好副本。
該檔案可從兩個位置提取:
* 硬碟驅動器上的 Windows 安裝檔案。在許多較新的計算機上,包含 Windows 安裝檔案的 .cab 檔案存儲在計算機的硬碟驅動器上。如果確定是屬於這種情況,請參閱“提取位於硬碟驅動器上的檔案”部分。
* Microsoft Windows 95/98 安裝光碟。如果 .cab 檔案不位於硬碟驅動器上,請參閱“提取位於安裝光碟上的檔案”部分。
警告:如果已經從 Windows 95 升級到 Windows 98,那么除非能確定硬碟驅動器上的 cabinet 檔案來自 Windows 98,否則,應該從安裝光碟上而不是從硬碟驅動器上的檔案中提取該檔案。
注意:
* 提供這些指導是為了方便用戶。提取 Windows 檔案使用的是 Microsoft 程式和命令。Symantec 不對 Microsoft 產品提供擔保支持或幫助。但是,為了用戶方便,現在 Symantec 為一系列非 Symantec 產品提供收費的技術支持與幫助,其中包括 Microsoft 的產品。可以撥打電話 (800) 745-6032 與 Symantec Multivendor Support 聯繫。另外,建議您與 Microsoft 聯繫以獲得有關此類問題的幫助。
* 目前 Windows 安裝光碟有多種版本。這些版本可能將所需檔案存放在 .cab 檔案的不同位置。在下列指導中,提供的命令會指示提取程式在某一特定位置開始搜尋,同時命令中還包含“/a”轉換參數。此命令轉換參數能使提取程式順次循環搜尋下列所有的 cabinet 檔案,直到找到所指示的檔案為止。但是,它不會搜尋前面提到的 .cab 檔案。
提取位於硬碟驅動器上的檔案:
1. 鍵入 dir /s /b \precopy1.cab,然後按 Enter 鍵:這會顯示 Precopy1.cab 檔案的路徑。如果找不到該檔案,則 .cab 檔案可能不位於硬碟驅動器上。在這種情況下,應跳到“提取位於安裝光碟上的檔案”部分。
2. 更改到 Precopy1.cab 檔案所在的資料夾。
3. 下一步操作取決於您使用的作業系統:
注意:
+ 如果輸入任何命令後都出現 File not found,請確認鍵入的命令與下面顯示的命令完全一致。
+ 如果出現訊息提示您是否覆蓋檔案,請按代表“是”的 Y 鍵,然後按 Enter 鍵。
+ 如果 Windows 安裝在其他位置,請用正確的路徑替換命令中相應的部分。
警告:請小心鍵入要提取檔案的目標路徑,如 C:\Windows。如果鍵入一個不存在的目標資料夾,則提取命令將創建此新資料夾,並且在不提示您確認此創建的情況下,將檔案提取到此資料夾內。結果會導致被感染的 Windows 系統檔案未被覆蓋。
o 如果使用的是 Windows 98,請鍵入下列命令,然後按 Enter 鍵:
extract /a precopy1.cab wsock32.dll /L c:\windows\system
o 如果使用的是 Windows 95,請鍵入下列命令,然後按 Enter 鍵:
extract /a win95_10.cab wsock32.dll /L c:\windows\system
提取位於安裝光碟上的檔案:
注意:
* 下列指導適用於分發範圍最為廣泛的 CD 版 Windows 95/98 。不過,在眾多版本中有一部分是以軟碟形式分發的。每個版本的 .cab 檔案所在的位置都可能不同,或者需要提取的檔案所在的 .cab 檔案不同。本文檔不包含對每個版本的指導。
* 如果您的 Windows 安裝光碟與下列命令中顯示的不一致,則必須將命令中的路徑更改為與您所使用的版本對應的正確路徑。此外還必須找到包含要提取檔案的 .cab 檔案。有關詳細信息,請參閱文檔:哪些 cabinet 檔案包含原始 Windows 檔案?
1. 在軟碟驅動器中插入 Windows 98 啟動盤。
2. 在 CD-ROM 驅動器中插入 Windows 98 安裝光碟。
3. 關閉計算機,然後等待三十秒鐘。
4. 打開計算機。計算機進入到啟動選單。
5. 默認選單項為 Start Computer with CD-ROM Support。不進行任何更改,而按 Enter 鍵。
6. 允許計算機啟動到 A:\> 提示符。這一過程可能需要幾分鐘的時間。
7. 下一步是轉到 CD-ROM 驅動器。因為使用的是啟動盤,所以驅動器盤符將比通常代表 CD-ROM 驅動器的盤符高一位。例如,如果 CD-ROM 驅動器在 Windows 中為驅動器 D,則為驅動器 E。
鍵入下列內容(如有必要,更改驅動器盤符),然後按 Enter 鍵:
e:\win98(如果安裝盤是用於 Windows 98 的)
或
e:\win95(如果安裝盤是用於 Windows 95 的)
如果出現錯誤訊息,則嘗試重新鍵入命令,但使用另一驅動器盤符,如 f:\win98
8. 下一步操作取決於您所運行的 Windows 版本:
注意:
+ 如果輸入任何命令後都出現 File not found,請確認鍵入的命令與下面顯示的命令完全一致。
+ 如果出現訊息詢問您是否覆蓋檔案,請按代表“是”的 Y 鍵,然後按 Enter 鍵。
+ 如果 Windows 安裝在其他位置,請替換為適當的路徑。
警告:請小心鍵入要提取檔案的目標路徑,如 C:\Windows。如果鍵入一個不存在的目標資料夾,則提取命令將創建此新資料夾,並且在不提示您確認此創建的情況下,將檔案提取到此資料夾內。結果會導致被感染的 Windows 系統檔案未被覆蓋。
o 如果運行的是 Windows 98,請鍵入下列命令,然後按 Enter 鍵:
extract /a precopy1.cab wsock32.dll /L c:\windows\system
o 如果運行的是 Windows 95,請鍵入下列命令,然後按 Enter 鍵:
extract /a win95_10.cab wsock32.dll /L c:\windows\system
如果未出現任何錯誤訊息,則說明提取過程已完成。
再次運行掃描
要確認現在已刪除了所有的被感染檔案,請運行 LiveUpdate,然後運行完整的系統掃描。
描述者: Richard Cave
