Kerozine 1-4: Virus Analizer --> W32/Hybris-C
Nombre: W32/Hybris-C
Tipo: Gusano Win32
Detección: Detectado por Sophos Anti-Virus.
Comentarios: W32/Hybris-C es un gusano capaz de poner al día sus funciones mediante Internet.
Consiste en una parte baja y una colección de componentes aumentables. Los componentes se salvan dentro del cuerpo del gusano cifrado con la criptografía fuerte 128-bit.
Cuando está ejecutado, el gusano infecta WSOCK32.dll. Siempre que se envíe un email, el gusano procura enviar una copia de sí mismo como conexión a un mensaje separado al mismo recipiente. Cualquier otro comportamiento exhibido por el gusano es enteramente dependiente en el conjunto de componentes instalados. Los efectos de los componentes sabidos a Sophos a la hora de la escritura se describen abajo.
El texto del mensaje del email es determinado por uno de los componentes instalados, y por lo tanto se puede cambiar por el mecanismo de aumento detallado abajo. Por lo tanto el mensaje puede tener cualquier tema, cualquier texto del mensaje y cualquier nombre de fichero para el fichero asociado.
Un componente común del gusano controla las configuraciones del lenguaje del ordenador que ha infectado, y selecciona un mensaje por consiguiente de:
Tema: Enanito si, pero con que pedazo!
Texto del mensaje:
Faltaba apenas un dia para su aniversario de de 18 años. Blanca Nieves fuera siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande* sorpresa para su fiesta de compleaños. Al entardecer, llegaron. Tenian un brillo incomun en los ojos...
Los métodos para aumentar el gusano pueden también ser cambiados pues son también componentes upgradable. A la hora de la escritura, se han visto dos. Una de las técnicas de aumento procura descargar los componentes cifrados de un website que sea funcionado probablemente por el autor del gusano. Este website ha estado invalidado desde entonces. Sin embargo, este componente se podía aumentar para tener un diverso direccionamiento del Web.
El otro método implica el fijar de sus enchufable actuales al newsgroup de USENET alt.comp.virus, y el aumentar de ellos de otros postes por otras infecciones del gusano. …stos están otra vez en la forma cifrada, y tienen una cabecera con un identificador de cuatro caracteres y un número de versión de cuatro caracteres, en la orden para que el gusano sepa qué enchufable a instalar.
Otro componente del gusano busca la PC para los ficheros de archivo del ZIP y del RAR. Cuando el hallazgo uno, él busca dentro de él para un fichero del EXE, que retitula al EX$, y entonces agrega una copia de sí mismo al archivo usando el nombre de fichero original.
Hay un componente de la carga útil, que el 24 de septiembre de cualquier año, o en 1 minuto a la hora en cualquier día en el año 2001, visualizaciones un espiral animado grande en el centro de la pantalla que es difícil de cerrarse.
Hay también un componente que aplica un cifrado polimórfico simple al gusano antes de que consiga enviado por el email. Aumentando este componente el autor puede cambiar totalmente el aspecto del gusano de maneras imprevisibles en una tentativa de derrotar los productos del contra-virus que lo detectan
Fuente: Sophos Antivirus - www.sophos.com
