© Frank Ziemann – Update: 02.09.2009
Extra-Blatt
Virus/Wurm: W32/Hybris
Ein Wurm mit Plug-Ins
Hybris kommt in verschiedenen Varianten von. Der Wurm versendet sich von infizierten Rechnern aus per E-Mail. Diese E-Mails sind verschieden aufgebaut:
1. Variante:
From: Hahaha <hahaha@sexyfun.net> (gefälscht)
Subject: Snowhite and the Seven Dwarfs - The REAL story!
Text: (eine Geschichte über Schneewittchen und die sieben Zwerge)
Attachment: dwarf4you.exe, joke.exe, midgets.scr, sexy virgin.scr u.a. (23 - 25 KB)
2. Variante:
From: < > (kein Absender erkennbar)
Subject: ./.
Text: ./.
Attachment: [8 Buchstaben].exe (23 - 25 KB), z.B. FGHOEKFG.EXE, KLHFGOKL.EXE, PADJPEPA.EXE
Der Absender ist nur dann erkennbar, wenn Ihr Mail-Server den so genannten 'Envelope-From' in den Header der Mail schreibt, meist als <Return path>. Meist weiß der Absender noch nichts von seinem 'Glück'...
Hybris ist ein Wurm, der eine ähnliche Technik benutzt wie Happy99 (W32/Ska): Er ersetzt die Datei WSOCK32.DLL durch eine modifizierte Version. Er legt aber nicht wie Happy99 eine Kopie der Original-Datei an. Der Austausch geschieht bei Windows 95/98/ME durch einen Eintrag in der Datei WININIT.INI beim nächsten Systemstart:
NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WSOCK32.DLL=C:\WINDOWS\SYSTEM\dateiname.ext
Der Pfad ist nicht fest 'verdrahtet', sondern wird ggf. den Gegebenheiten angepasst. Der Dateiname variiert, meist im Schema '[8 Buchstaben].exe'.
Zusätzlich generiert Hybris einen Registry-Eintrag, der die Installation des Wurms sicher stellt, falls obige Methode nicht funktioniert (z.B. unter NT). Dieser lautet:
HKLM (oder: HKCU)\Software\Microsoft\Windows\CurrentVersion\RunOnce
(Standard)=%WinDir%\dateiname.ext
Hybris verfügt über eine Plug-In-Schnittstelle, die es dem Wurm ermöglicht, neue Funktionen
über das Internet herunterzuladen und so sein Verhalten komplett zu verändern. Diese Module sind
verschlüsselt. Es existieren diverse Module mit verschiedenen Schadensfunktionen. So gibt es z.B.
eines, das EXE-Dateien in ZIP-und RAR-Archiven umbenennt (in *.EX$) und eine Kopie von Hybris mit dem alten Dateinamen
einfügt. Ein anderes Modul infiziert EXE-Dateien, die somit bei Ausführung den Wurm installieren. Das
erste bekannte Modul ermöglichte ein Update über die Newsgroup alt.comp.virus und machte dieses Forum
durch eine Flut infizierter Postings eine zeitlang nahezu unbenutzbar. Ein recht auffälliges Modul zeigt
eine sich drehende Spirale, die mehr als die Hälfte der Bildschirmfläche einnimmt.
Hybris speichert solche Module auch als (verschlüsselte) Dateien auf der Festplatte. Sie tragen willkürlich erscheinende
Namen nach dem Schema [8 Buchstaben].[3 Buchstaben], z.B. LKDFJGOL.AGF, WHGDLFKT.OJZ, etc.
Hybris entfernen
Um W32/Hybris wieder loszuwerden, kann es im günstigsten Fall genügen, die infizierte Datei
WSOCK32.DLL (unter DOS) durch die Original-Version von der Windows-CD zu ersetzen. Diese finden
Sie je nach Windows-Version (95/98/ME) in einem der CAB-Archive im Windows-Verzeichnis der CD. Vergleiche
Anleitung für W32/MTX.
Sie sollten jedoch unbedingt den gesamten Rechner mit einem aktuellen(!) Virenscanner prüfen (auf
'alle Dateien' einstellen!). Je nach in 'Ihrem' Wurm enthaltenen Modul können weitere Dateien infiziert sein, u.U. auch ZIP- und RAR-Archive.