病毒名稱:
Hybris別名:
I-Worm.Hybris , TROJ_HYBRIS.A, W32/Hybris.gen.dll@M, Worm.Hybris W32/Hybris.gen@M, W32/Hybris.plugin@M病毒特點:
蠕蟲的主要感染目標是wsock32.dll動態程式庫。在感染程式庫的同時,它還將自身寫入檔案最後部分的結尾(附著了"connect", "recv", "send"功能);修改動態程式庫的入口地址並對原入口地址進行加密。如果蠕蟲啟動時無法感染wsock32.dll,說明該檔案正在被使用,那么該蠕蟲將創建wsock32.dll的副本(檔案名稱由8個隨機字母組成)感染它並將"rename" 指令寫入Wininit.ini檔案中。那么WSOCK32.DLL將在系統再次啟動時被替換。
蠕蟲同樣在Windows system目錄下以隨機檔案名稱創建自身的副本,並在註冊表中添加一下鍵值:
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce
= %WinSystem%\WormName
或
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce
= %WinSystem%\WormName
其中"WormName" 是隨機檔案名稱。
當蠕蟲處於激活狀態時,它將截獲Windows 用於建立網路連線的函式,包括Internet連線。蠕蟲截獲傳送和接收的數據並掃描其email地址,一旦地址被檢查到,蠕蟲將等待一段時間然後將一個染毒的訊息(擴展名為.EXE或 .SCR)傳送給這些地址。
當Hybris被啟動後,它將從站點伺服器上下載一個名為INDEX.TXT的文本檔案,其中包含了蠕蟲下載的其他有用的檔案列表。
該病毒包含下列代碼:
HYBRIS
(c) Vecna
