|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
I-Worm.Hybris.G
Der Internet Wurm Hybris scheint auf den ersten Blick ein InternetWurm wie jeder andere zu sein. Aber der Schein trügt: bei näherer Betrachtung entpuppt sich das Hybris Virus als der bisher vermutlich am weitesten entwickelte Wurm, mit dem Anwender bis dato konfrontiert wurden. Er greift auf bewährte Strategien ebenso zurück wie auf neue Ideen. Sein “Leistungsumfang” geht über den anderer Viren um ein vielfaches hinaus.
Ein “high-end” Virus, welches mit Sicherheit noch von sich Reden machen wird.
Das Hybris Virus ist verschlüssselt und erschwert Virenschutzprogrammen die Arbeit damit ganz beträchtlich. Wie W32.Ska (Happy.99) setzt das Hybris.Virus nicht auf die Mappi-Schnittstelle um sich via Outlook zu verbreiten, sondern es nutzt die Winsock.dll um sich vom Anwender unbemerkt in Kopie an jeden zu versenden, an den vom Anwender eMails geschickt werden.
Das eMail mit dem sich das Hybrisvirus verschickt hat zumeist folgendes Aussehen:
From: Hahaha
Eines der möglichen Subjects:
--------
Snowhite and the Seven Dwarfs - The REAL story!
Branca de Neve pornô!
Enanito si, pero con que pedazo!
Les 7 coquir nains
Einer der möglichen Texte im Mail:
-------------
C'etait un jour avant son dix huitieme anniversaire. Les 7 nains, qui avaient aidé 'blanche neige' toutes ces années après qu'elle se soit enfuit de chez sa belle mère, lui avaient promis une *grosse* surprise. A 5 heures comme toujours, ils sont rentrés du travail. Mais cette fois ils avaient un air coquin...
Today, Snowhite was turning 18. The 7 Dwarfs always where very educated and polite with Snowhite. When they go out work at mornign, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter...
Faltaba apenas un dia para su aniversario de de 18 años. Blanca de Nieve fuera
siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande* sorpresa para su fiesta de compleaños. Al entardecer, llegaron. Tenian un brillo incomun en los ojos...
Faltava apenas um dia para o seu aniversario de 18 anos. Branca de Neve estava muito feliz e ansiosa, porque os 7 anões prometeram uma *grande* surpresa. As cinco horas, os anõezinhos voltaram do trabalho. Mas algo nao estava bem... Os sete anõezinhos tinham um estranho brilho no olhar...
Einer der möglichen Namen des Attachments:
Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
celebrity rape.exe
leather.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe
lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-f*cking.exe
amateurs.exe
enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exe
sexy virgin.scr
joke.exe
midgets.scr
dwarf4you.exe
blancheneige.exe
sexynain.scr
blanche.scr
nains.exe
branca de neve.scr
atchim.exe
dunga.scr
anão pornô.scr
Der Hybris Wurm ist darüber hinaus ebenso wie der W32.Sonic.Worm ein Mehrkomponenten-Infektor, also ein Virus, das sich, sobald es sich erfolgreich installieren konnte, beliebig weitere Komponenten aus dem Web “nachladen” und somit fast uneingeschränkte Funktionen “updaten” kann.
Wird der Hybris Wurm gestartet, lädt er, so wie der Sonic Wurm, eine Textdatei (INEDEX.TXT) nach, in der die Dateinamen der möglichen nachladbaren Plugins abgespeichert sind:
HTTP.DAT NEWS.DAT ENCR.DAT PR0N.DAT SPIRALE.DAT SUB7.DAT
DOSEXE.DAT AVINET.DAT
Die Palette dabei ist sehenswert. Die Funktionen der nachladbaren Plugins (die natürlich verschlüsselt sind) für das Virus umfassen Infektionsroutinen für alle ZIP und RAR Archive auf allen Festplatten von C bis Z. Ein weiteres Plugin ist das Versenden von infizierten eMails an die Virennewsgroup “alt.com.virus”. Zum Drüber streuen gibt’s auch noch ein Plugin, mit dem das Virus nach installierten SubSeven Trojanern Ausschau halten kann. Wird es dabei fündig, steht es nicht an, diesen Trojaner auch zu seiner eigenen Verbreitung zu nutzen.
Damit allerdings noch nicht genug! Das Hybris Virus kann darüber hinaus, eine Routine nachladen, die es ermöglicht, eMails die von infizierten PC´s verschickt werden, mit einer polymorphen Verschlüsselung zu schützen. Dies führt dazu, daß diese verschlüsselten eMails problemlos jeden Virenscanner austricksen können, solange die Entschlüsselung am Client nicht stattfindet. Im Klartext: das Virus passiert problemlos jeden Gateway basierenden Virenschutz und kann nur von White-Liste Ansätzen erfolgreich am Gateway geblockt werden.
Die Möglichkeit, daß sein Virus erfolgreich sein könnte, hat der Virenschreiber ebenfalls “berücksichtigt”. Würde das Virus die erwähnten Plugins nur von einer Website nachladen, wäre es relativ leicht und schnell möglich diese Site zu sperren bzw. würde sie wegen Überlastung ohnehin keine Zugriffe ermöglichen. Dummer weise führt das Virus über 70 Adressen mit, von denen es versuchen kann Routinen nachzuladen.
Wer meint mit einem Schreibschutz seiner Winsock.dll auf der sicheren Seite zu sein, hat die Rechnung ebenfalls ohne den Ideenreichtum des oder der Autors(en) von Hybris gemacht. Das Virus schreibt sich seine eigene WSOCK32.DLL ins Windows System Verzeichnis und stellt mit einem Eintrag in WININIT.INI sicher, daß die Originaldatei beim nächsten Reboot vom “Virus-Klon” ersetzt wird.
Danach versucht das Virus eine Kopie seiner selbst an alle Adressen, die vom Anwender angeschrieben werden, zu verschicken. Im Regelfall geschieht dies als EXE oder SCR (Screensaver) Datei.
|
|
Linktipps: klosterhäseler bio
|
|
|
|
