|
|
| Nombre: | W32/Hybris@MM
Alias: I-Worm.Hybris, W32/Hybris.gen@MM, TROJ_HYBRIS.A, W32/Hybris@MM, W32/Hybris.dll@MM |
| Tipo: | Gusano de Email |
| Tamaño: | Depende de la versión (18 y 23Kb) |
| Origen: | Brasil |
| Destructivo: | Hasta la versión G no es dañino. |
| En la calle (in the wild): | SI |
| Detección y eliminación: | The Hacker 14/11/2000 |
Descripción
W32/Hybris@M es un gusano de Internet que se propaga vía E-mail. El sujeto, cuerpo y nombre del attachment son variables. El gusano llega desde la cuenta hahaha@sexyfun.net
Características del mensaje de E-mail:
Asunto: (Posibles Sujetos)
Enanito si, pero con que pedazo!
Snowhite and the Seven Dwarfs - The REAL story!
Branca de Neve pornô!
Les 7 coquir nains
Cuerpo:
Faltaba apenas un dia para su aniversario de de 18 años. Blanca de Nieve
fuera siempre muy bien cuidada por los enanitos. Ellos le prometieron una
*grande* sorpresa para su fiesta de cumpleaños. Al atardecer, llegaron.
Tenian un brillo incomun en los ojos...
Archivo Adjunto: Posibles archivos adjuntos:
enano.exe, enano porno.exe, blanca de nieve.scr, enanito fisgon.exe, sexy virgin.scr,
joke.exe, midgets.scr, dwarf4you.exe, blancheneige.exe, sexynain.scr, blanche.scr,
nains.exe, branca de neve.scr, atchim.exe, dunga.scr, anão pornô.scr
---------------------------------------------------
Si el archivo adjunto es ejecutado el gusano parcha el archivo WSOCK32.DLL que establece conexiones (Ej. Internet) y se engancha a las funciones que envian y reciben datos ("connect", "send", "recv"), cuando se envia un mensaje de e-mail el gusano filtra el mensaje y envía un segundo mensaje infectado al mismo destinatario.
El gusano se copia a la carpeta \Windows\System con un nombre variable y se regista para ejecutarse en cada inicio del sistema:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
{Predeterminado} = \Windows\System\archivo.exe
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
{Predeterminado} = \Windows\System\archivo.exe
archivo.exe es un nombre de archivo variable.
W32/Hybris se actualiza vía internet automáticamente, el gusano lee el grupo de noticias alt.comp.virus buscando plugins nuevos. Con este método de actualización el gusano ha tenido singular éxito, a la fecha ya se conocen 5 variantes (A, B, C,D, E).
Para detectar y eliminar W32/Hybris@MM utilice The Hacker 4.10 al 14/11/2000 ó posterior (El gusano en su formato EXE será borrado del disco duro, el archivo WSOCK32.DLL será limpiado)
Otros:
13/12/2000: Nuevas variantes en la calle detectadas como W32/Hybris.gen@MM. Para borrar los archivos infectados con estas nuevas variantes y limpiar WSOCK32.DLL infectado utilice The Hacker 4.10 al 13/12/2000 ó posterior.
Para limpiar el archivo WSOCK32.DLL infectado debe realizar el proceso desde el modo DOS debido a que el archivo infectado se encuentra en uso por Windows.
PASOS:
1- Reinicie el equipo en modo MS-DOS vía INICIO | APAGAR EL EQUIPO | REINICIAR EL EQUIPO EN MODO MSDOS
2- Cuando aparece el prompt del DOS (C:\Windows>) ingrese a la carpeta donde se encuentra instalado The Hacker
Ej (el caracter gruña (~) se saca con ALT + 126).
CD C:\ARCHIV~1\THEHAC~1 [enter]
3- Una vez en la carpeta de The Hacker ejecute el programa TH.EXE indicando la unidad que desea revisar:
Ej.
TH.EXE C: [enter]
Derechos reservados 1992/2001 HackSoft S.R.L. Lima-Perú