publicidadpublicidad publicidad
 

> Home > Antivirus > Enciclopedia de virus > Virus Hybris.A

Virus Hybris.A

La Peligrosidad varía según el Daño y la Propagación

Peligrosidad Peligrosidad media Propagación Propagación baja Daño Daño muy alto
 
 
Descripción Detalles Solución Estadísticas

Efectos:

Hybris.A se activa cuando se ejecuta el fichero incluido en el mensaje de correo electrónico. A partir de ese momento produce los siguientes efectos:

Se actualiza a sí mismo mediante plugins que es capaz de descargar desde Internet.

Concretamente, puede llegar a obtener hasta 32 plugins. Algunos de ellos, corresponden a los siguientes ficheros: HTTP.DAT, NEWS.DAT, AVINET.DAT, ENCR.DAT, PR0N.DAT, SPIRALE.DAT, SUB7.DAT, AND DOSEXE.DAT.

Busca ficheros con extensión EXE dentro de los ficheros comprimidos en formato ZIP o RAR y los sustituye por una copia de sí mismo. Los ficheros originales, pasarán a tener extensión EX$.

Detecta otros ordenadores que estén afectados por el gusano Subseven y se instala en ellos.

Metodo de infección:

Hybris.A crea el fichero WININIT.INI en el directorio de Windows del ordenador afectado. El contenido de este fichero es el siguiente:

[Rename]

C:\WINDOWS\SYSTEM\WSOCK32.DLL= C:\WINDOWS\ SYSTEM\< nombre aleatorio de 8 caracteres sin extensión >

Hybris.A modifica el fichero WSOCK32.DLL, del siguiente modo:

  • Copia su código de infección, al final de dicho fichero.
  • Modifica las funciones connect, send y recv, incluidas dentro de dicho fichero, para que activen el código del gusano.

    Dichas funciones son las encargadas de realizar los conexiones a Internet, así como del envío y de la recepción de datos. De este modo Hybris.A consigue controlar todo el correo electrónico que se envía desde el ordenador afectado.

  • Copia el fichero WSOCK32.DLL en el directorio de sistema de Windows, si no puede infectarlo porque está siendo utilizando.

    En tal caso, no lo copia allí con el mismo nombre, sino con un nombre de ocho caracteres elegidos al azar y sin extensión.

Además, Hybris.A introduce una de las siguientes entradas en el Registro de Windows, con el fin de activarse cuando se entra en Windows:

  • HKEY_LOCAL_MACHINE\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce
  • HKEY_CURRENT_USER\ Software\ Microsoft\ Windows\ CurrentVersion\ RunOnce

Hybris.A utiliza plugins que descarga de Internet, para actualizarse. El gusano, tiene dos formas de hacerlo:

  • Mediante el acceso a una página de Internet.
  • Mediante una conexión con grupo de noticias alt.comp.virus.

    En este caso, Hybris.A también envía sus plugins y comprueba los números de versión e identificador incluidos en cada uno de ellos. Así, Hybris.A averigua los plugins que necesita

    Metodo de propagación:

    Hybris.A se difunde a través del correo electrónico, mediante un mensaje de correo electrónico con las siguientes características:

    • Remitente:
      Hahaha < hahaha@sexyfun.net >
    • Asunto:
      Enanito si, pero con que pedazo!
    • Texto:
      Faltaba apenas un dia para su aniversario de 18 años. Blanca de Nieve fuera siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande* sorpresa para su fiesta de compleaños. Al entardecer, llegaron. Tenian un brillo incomun en los ojos... 
    • Fichero adjunto: uno de los siguientes. Los más comunes:

      ENANO.EXE, ENANO PORNO.EXE, BLANCA DE NIEVE.SCR, ENANITO FISGON.EXE

      Otras posibilidades: ANNA.EXE, RAQUEL DARIAN.EXE, XENA.EXE, XUXA.EXE, SUZETE.EXE, FAMOUS.EXE, CELEBRITY RAPE.EXE, LEATHER.EXE, SEX.EXE, SEXY.EXE, HOT.EXE, HOTTEST.EXE, CUM.EXE, CUMSHOT.EXE, HORNY.EXE, ANAL.EXE, GAY.EXE, ORAL.EXE, PLEASURE.EXE, ASIAN.EXE, LESBIANS.EXE, TEENS.EXE, VIRGINS.EXE, BOYS.EXE, GIRLS.EXE, SM.EXE, SADO.EXE, CHEERLEADER.EXE, ORGY.EXE, BLACK.EXE, BLONDE.EXE, SODOMIZED.EXE, HARDCORE.EXE, SLUT.EXE, DOGGY.EXE, SUCK.EXE, MESSY.EXE, KINKY.EXE, FIST-FUCKING.EXE, AMATEURS.EXE. 

    • Hybris.A puede cambiar el asunto del mensaje, utilizando una combinación de las siguientes palabras: Anna, Raquel Darian, Xena, Xuxa, Suzete, famous, celebrity rape, leather, sex, sexy, hot, hottest, cum, cumshot, horny.

    Además, este mensaje puede recibirse en inglés, francés y portugués. Si desea consultar el mensaje en estos idiomas, pulse aquí.

    Hybris.A se activa cuando se ejecuta el fichero incluido dentro del mensaje de correo electrónico.

    A partir de ese momento, Hybris.A comienza a propagarse. Esto lo hace enviando su mensaje de infección a los mismos destinatarios a los que el usuario afectado va enviando un mensaje de correo electrónico.

    Otros detalles:

    El creador de Hybris.A es conocido como Vecna y su origen es brasileño.

    Los plugins que utiliza están cifrados mediante un algoritmo similar al RSA, con un a clave o contraseña de 128 Bits.

    Algunas copias de este gusano, están cifradas mediante una sencilla rutina semi-polimórfica.
 
 
 
Servicios

Buscador de internet

Callejero

Directorio de empresas

Directorio Web

Divisas

El Tiempo

Páginas amarillas

Páginas blancas

Traductor

 
Canales

ADSL

Alimentación

Horóscopo

Compras

Contactos

Formación

Juegos

Lotería

Monografías

Móviles

Viajes

 
Noticias

Noticias

Nacional

Regional

Internacional

Cultura y ocio

Economía y finanzas

Deportes

Sociedad

Ciencia y tecnología

Medicina y salud

 
Recomendamos

Dietas

 

Glosario

 

Weblog
Desarrolado por Hispanetwork