|
|
Viren : Virenkatalog
A
B
C
D
E
F
G
H
I
J
K
L
M
N
O
P
Q
R
S
T
U
V
W
X
Y
Z
0-9
Trojan.Hybris
alias: IWorm_Hybris, I-Worm.Hybris
Trojan.Hybris, ein Internet-Wurm, scheint auf den ersten Blick ein InternetWurm
wie jeder andere zu sein. Aber der Schein trügt: bei näherer Betrachtung
entpuppt sich das Hybris Virus als der bisher vermutlich am weitesten
entwickelte Wurm, mit dem Anwender bis dato konfrontiert wurden. Er greift
auf bewährte Strategien ebenso zurück wie auf neue Ideen. Sein
"Leistungsumfang" geht über den anderer Viren um ein vielfaches hinaus. Ein
"high-end" Virus, welches mit Sicherheit noch von sich Reden machen wird.
Das Hybris Virus ist verschlüssselt und erschwert Virenschutzprogrammen die
Arbeit damit ganz beträchtlich. Wie W32.Ska (Happy.99) setzt das Hybris.Virus
nicht auf die Mappi-Schnittstelle um sich via Outlook zu verbreiten, sondern
es nutzt die Winsock.dll um sich vom Anwender unbemerkt in Kopie an jeden zu
versenden, an den vom Anwender eMails geschickt werden. Der Hybris Wurm ist
darüber hinaus ebenso wie der W32.Sonic.Worm ein Mehrkomponenten-Infektor, also
ein Virus, das sich, sobald es sich erfolgreich installieren konnte, beliebig
weitere Komponenten aus dem Web "nachladen" und somit fast uneingeschränkte
Funktionen "updaten" kann. Wird der Hybris Wurm gestartet, lädt er, so wie der
Sonic Wurm, eine Textdatei (INEDEX.TXT) nach, in der die Dateinamen der möglichen
nachladbaren Plugins abgespeichert sind:
HTTP.DAT / NEWS.DAT / ENCR.DAT / PR0N.DAT / SPIRALE.DAT / SUB7.DAT / DOSEXE.DAT
AVINET.DAT
Die Palette dabei ist sehenswert. Die Funktionen der nachladbaren Plugins
(die natürlich verschlüsselt sind) für das Virus umfassen Infektionsroutinen
für alle ZIP und RAR Archive auf allen Festplatten von C bis Z. Ein weiteres
Plugin ist das Versenden von infizierten eMails an die Virennewsgroup
"alt.comp.virus". Zum Drüber streuen gibt's auch noch ein Plugin, mit dem
das Virus nach installierten SubSeven Trojanern Ausschau halten kann. Wird
es dabei fündig, steht es nicht an, diesen Trojaner auch zu seiner eigenen
Verbreitung zu nutzen. Das Hybris Virus kann darüber hinaus, eine Routine
nachladen, die es ermöglicht, eMails die von infizierten PC´s verschickt
werden, mit einer polymorphen Verschlüsselung zu schützen. Dies führt dazu,
daß diese verschlüsselten eMails problemlos jeden Virenscanner austricksen
können, solange die Entschlüsselung am Client nicht stattfindet.
Im Klartext: das Virus passiert problemlos jeden Gateway basierenden
Virenschutz und kann nur von White-Liste Ansätzen erfolgreich am Gateway
geblockt werden. Die Möglichkeit, daß sein Virus erfolgreich sein könnte,
hat der Virenschreiber ebenfalls "berücksichtigt". Würde das Virus die
erwähnten Plugins nur von einer Website nachladen, wäre es relativ leicht
und schnell möglich diese Site zu sperren bzw. würde sie wegen Überlastung
ohnehin keine Zugriffe ermöglichen. Dummer weise führt das Virus über 70
Adressen mit, von denen es versuchen kann Routinen nachzuladen. Wer meint
mit einem Schreibschutz seiner Winsock.dll auf der sicheren Seite zu sein,
hat die Rechnung ebenfalls ohne den Ideenreichtum des oder der Autors(en)
von Hybris gemacht. Das Virus schreibt sich seine eigene WSOCK32.DLL ins
Windows System Verzeichnis und stellt mit einem Eintrag in WININIT.INI sicher,
daß die Originaldatei beim nächsten Reboot vom "Virus-Klon" ersetzt wird.
Danach versucht das Virus eine Kopie seiner selbst an alle Adressen, die
vom Anwender angeschrieben werden, zu verschicken. Im Regelfall geschieht
dies als EXE oder SCR (Screensaver) Datei.
Folgende Attachments sind derzeit bekannt:
Anna.exe
Raquel Darian.exe
Xena.exe
Xuxa.exe
Suzete.exe
famous.exe
celebrity rape.exe
leather.exe
sex.exe
sexy.exe
hot.exe
hottest.exe
cum.exe
cumshot.exe
horny.exe
anal.exe
gay.exe
oral.exe
pleasure.exe
asian.exe lesbians.exe
teens.exe
virgins.exe
boys.exe
girls.exe
SM.exe
sado.exe
cheerleader.exe
orgy.exe
black.exe
blonde.exe
sodomized.exe
hardcore.exe
slut.exe
doggy.exe
suck.exe
messy.exe
kinky.exe
fist-f*cking.exe
amateurs.exe
|
|
Linktipps: Parfum
|
|
|
|
