30 maja 2003

I-Worm.Hybris.h - kolejna mutacja

Jest to kolejna modyfikacja robaka Hybris. Zawiera procedury zwiększające możliwości szkodnika.

Nowa wersja robaka posiada składniki pozwalające mu na wykonywanie następujących czynności:

  1. Blokowanie dostępu do serwerów firm produkujących oprogramowanie antywirusowe poprzez sprawdzanie wywoływanych numerów IP.
  2. Wyszukiwanie i zamykanie okien programów antywirusowych oraz zapór ogniowych posiadających następujące nazwy:
    • AVG Control Center,
    • Avast32 -- Rezidentni podpora,
    • AVP Monitor,
    • Amon Antivirus Monitor,
    • Antivirusovy monitor Amon,
    • ZoneAlarm,
    a także usuwanie kluczy rejestru systemowego związanych z tego typu oprogramowaniem.
  3. Infekowanie plików EXE poprzez dopisywanie do nich sekcji "HAPPY99" oraz nadpisywanie pliku %SYSTEM%\ska.exe (jeżeli istnieje) własną kopią.
  4. Wysyłanie zainfekowanych wiadomości e-mail posiadających następujące tematy:
    • Happy New Year,
    • Happy 2k,
    • Happy New Millenium,
    • Feliz AĄo 2000,
    • Feliz Ano 2000,
    • Feliz Milenio,
    • Seculo Feliz,
    • Happy 2000,
    • Happy 2001,
    • Happy 19100,
    • Happy New Century,
    • Meine Glueckwuensche,
    • Herzliche Glueckwuensche,
    • Ein Gutes Neujahr,
    • Gute Feiertage,
    oraz nazwy załączników:
    • HAPPY_NEW_YEAR.SCR,
    • HAPPY2K.EXE,
    • HAPPY_NEW_MILLENIUM.SCR,
    • FELIZ_AĄO_2000.SCR,
    • FELIZ_ANO_2000.SCR,
    • FELIZ_MILENIO.SCR,
    • SECULO_FELIZ.SCR,
    • HAPPY2000.EXE,
    • HAPPY2001.SCR,
    • HAPPY_19100.EXE,
    • HAPPY_NEW_CENTURY.EXE,
    • MEINE_GLUECKWUENSCHE.SCR,
    • HERZLICHE_GLUECKWUENSCHE.SCR,
    • EIN_GUTES_NEUJAHR.SCR,
    • GUTE_FEIERTAGE.SCR.
  5. Wysyłanie własnych składników na grupy dyskusyjne oraz pobieranie nowych z tego samego źródła. W celu uzyskania dostępu do grup dyskusyjnych robak wykorzystuje domyślny serwer NNTP lub jeden z 35 adresów serwerów zapisanych w jego kodzie.
  6. Generowanie polimorficznego programu szyfrującego kod robaka.
  7. Infekowanie archiwów RAR oraz ZIP zapisanych na dyskach lokalnych i sieciowych.
  8. Zapisywanie w rejestrze systemowym informacji o serwerach NNTP i SMTP wykorzystywanych do rozprzestrzeniania.
  9. Tworzenie pliku EXE w folderze "Common Startup" 16 oraz 24 dnia września. Plik ten zwiera program ukrywający się na liście procesów i wyświetlający na ekranie zainfekowanego komputera efekt graficzny (spiralę).
  10. Szyfrowanie kodu robaka zapisanego w pliku "WSOCK32.DLL" przy użyciu 32-bitowego algorytmu XOR.