Datencrash Datenrettung Hardware Virus
Datencrash Datenrettung Festplatte Hardware Virus Datencrash Datenrettung Festplatte Hardware Virus
   Datenrettung
   News
   Datenretter
   Glossar
   Erste Hilfe
   Datenbackup
   Computer & Hardware
   News
   Glossar
   Viren & Trojaner
   Viren-Katalog
   AntiViren-Tools
   Hack-Angriffe
   Internes
   Startseite
   Partner
   Sitemap
   Unsere Banner
   Presseinfo
   Kontakt
   Impressum
Viren : Virenkatalog

A B C D E F G H I J K L M N O P Q R S T U V W X Y Z 0-9

W32.Hybris.Worm.B


Win32.Hybris.Worm.B (alias I-Worm Hybris.B)

Hybris Wurm - Ein Name, den man sich merken sollte!

Der Internet Wurm Hybris scheint auf den ersten Blick ein InternetWurm wie jeder andere zu sein. Aber der Schein trügt: bei näherer Betrachtung entpuppt sich das Hybris Virus als der bisher vermutlich am weitesten entwickelte Wurm, mit dem Anwender bis dato konfrontiert wurden. Er greift auf bewährte Strategien ebenso zurück wie auf neue Ideen. Sein “Leistungsumfang” geht über den anderer Viren um ein vielfaches hinaus.
Ein “high-end” Virus, welches mit Sicherheit noch von sich Reden machen wird.

Das Hybris Virus ist verschlüssselt und erschwert Virenschutzprogrammen die Arbeit damit ganz beträchtlich. Wie W32.Ska (Happy.99) setzt das Hybris.Virus nicht auf die Mappi-Schnittstelle um sich via Outlook zu verbreiten, sondern es nutzt die Winsock.dll um sich vom Anwender unbemerkt in Kopie an jeden zu versenden, an den vom Anwender eMails geschickt werden.

Der Hybris Wurm ist darüber hinaus ebenso wie der W32.Sonic.Worm ein Mehrkomponenten-Infektor, also ein Virus, das sich, sobald es sich erfolgreich installieren konnte, beliebig weitere Komponenten aus dem Web “nachladen” und somit fast uneingeschränkte Funktionen “updaten” kann.

Wird der Hybris Wurm gestartet, lädt er, so wie der Sonic Wurm, eine Textdatei (INEDEX.TXT) nach, in der die Dateinamen der möglichen nachladbaren Plugins abgespeichert sind:

HTTP.DAT
NEWS.DAT
ENCR.DAT
PR0N.DAT
SPIRALE.DAT
SUB7.DAT
DOSEXE.DAT
AVINET.DAT

Die Palette dabei ist sehenswert. Die Funktionen der nachladbaren Plugins (die natürlich verschlüsselt sind) für das Virus umfassen Infektionsroutinen für alle ZIP und RAR Archive auf allen Festplatten von C bis Z. Ein weiteres Plugin ist das Versenden von infizierten eMails an die Virennewsgroup “alt.com.virus”. Zum Drüber streuen gibt’s auch noch ein Plugin, mit dem das Virus nach installierten SubSeven Trojanern Ausschau halten kann. Wird es dabei fündig, steht es nicht an, diesen Trojaner auch zu seiner eigenen Verbreitung zu nutzen.

Damit allerdings noch nicht genug! Das Hybris Virus kann darüber hinaus, eine Routine nachladen, die es ermöglicht, eMails die von infizierten PC´s verschickt werden, mit einer polymorphen Verschlüsselung zu schützen. Dies führt dazu, daß diese verschlüsselten eMails problemlos jeden Virenscanner austricksen können, solange die Entschlüsselung am Client nicht stattfindet. Im Klartext: das Virus passiert problemlos jeden Gateway basierenden Virenschutz und kann nur von White-Liste Ansätzen erfolgreich am Gateway geblockt werden.

Die Möglichkeit, daß sein Virus erfolgreich sein könnte, hat der Virenschreiber ebenfalls “berücksichtigt”. Würde das Virus die erwähnten Plugins nur von einer Website nachladen, wäre es relativ leicht und schnell möglich diese Site zu sperren bzw. würde sie wegen Überlastung ohnehin keine Zugriffe ermöglichen. Dummer weise führt das Virus über 70 Adressen mit, von denen es versuchen kann Routinen nachzuladen.

Wer meint mit einem Schreibschutz seiner Winsock.dll auf der sicheren Seite zu sein, hat die Rechnung ebenfalls ohne den Ideenreichtum des oder der Autors(en) von Hybris gemacht. Das Virus schreibt sich seine eigene WSOCK32.DLL ins Windows System Verzeichnis und stellt mit einem Eintrag in WININIT.INI sicher, daß die Originaldatei beim nächsten Reboot vom “Virus-Klon” ersetzt wird.

Danach versucht das Virus eine Kopie seiner selbst an alle Adressen, die vom Anwender angeschrieben werden, zu verschicken. Im Regelfall geschieht dies als EXE oder SCR (Screensaver) Datei.

Tip vom Virendoktor:

Wir empfehlen mit Nachdruck keine Attachments mit der Endung EXE oder SCR zu starten, von denen nicht sicher gestellt ist, welche Aktionen sie tatsächlich auslösen.

Stehen Sie JEDEM ausführbaren Dateianhang kritisch gegenüber! Löschen Sie Attachments im Zweifelsfall. Starten Sie keine Attachments ohne diese vorher auf Viren geprüft zu haben.

Aktivieren Sie wenn möglich einen eMail Filter, der Attachments, die Executables enthalten, abblockt bzw. in eigens dafür vorgesehene Quarantänebereiche stellt.








Linktipps: Kleinanzeigen