概述
發現: 2000 年 9 月 25 日
更新: 2007 年 2 月 13 日 11:35:06 AM
別名: W32.Hybris.gen, W32.Hybris.22528.dr, W32/Hybris.gen@M 【McAfee】, I-Worm.Hybris 【Kaspersky】, WORM_HYBRIS 【Trend】, W32/Hybris-A 【Sophos】, Win32.Hybris 【CA】, Full Moon
類型: Worm
受感染的系統: Windows 95, Windows 98, Windows Me
由於提交率的降低,Symantec 安全回響中心自 2004 年 1 月 6 日起,將此威脅從 3 類降為 2 類。
W95.Hybris 是一種通過電子郵件並以電子郵件附屬檔案形式進行傳播的蠕蟲。
電子郵件訊息或主題可能包括(但不限於)下列內容:
* [email protected]* Snow White and the Seven dwarves
附屬檔案可能有多種不同的名稱,包括(但不限於)下面列出的幾種:
* anpo porn(.scr
* atchim.exe
* branca de neve.scr
* dunga.scr
* dwarf4you.exe
* enano porno.exe
* joke.exe
* midgets.scr
* sexy virgin.scr
Symantec 已創建了幫助您殺除該蠕蟲的互動式教程。
防護
* 病毒定義(每周 LiveUpdate™) 2000 年 9 月 25 日
* 病毒定義(智慧型更新程式) 2000 年 9 月 25 日
威脅評估
廣度
* 廣度級別: Low
* 感染數量: More than 1000
* 站點數量: More than 10
* 地理位置分布: Medium
* 威脅抑制: Moderate
* 清除: Moderate
損壞
* 損壞級別: Low
分發
* 分發級別: High
* 附屬檔案名稱: Random with EXE or SCR file name extension
當蠕蟲附屬檔案被執行時,將修改或替換 wsock32.dll 檔案。該蠕蟲一旦感染了 wsock32.dll 檔案,就能監視 Internet 連線以及傳入和傳出的電子郵件。然後,該蠕蟲會掃描電子郵件地址。當其檢測到電子郵件地址(無論是從 Internet 站點上還是從正在傳送或接收的電子郵件上)後,會等待一段時間,然後向檢測到的地址傳送受感染的郵件。
該蠕蟲會試圖連線到 alt.comp.virus 新聞組。如果連線成功,則將自己的加密外掛程式上載到此新聞組。該蠕蟲瀏覽訊息的主題標題,並試圖匹配一種特定的格式。如果有外掛程式,主題標題中還會指定所附外掛程式的版本號。如果找到外掛程式的更新版本,該蠕蟲會將其下載,並更新自己的行為。
W95.Hybris.gen 的一個外掛程式會生成一個螺旋圖像。執行時,此外掛程式最初會載入 OpenGL 庫(用於繪製大的黑白相間的螺旋圖像)。此外掛程式還會將自身註冊為服務,因此在“關閉程式”對話框中不會顯示。有關這一主題的更多信息,請參閱文檔:W95.Hybris.Plugin。
該蠕蟲還包含一個能感染可執行程式的外掛程式。DOS EXE 感染是一種相當簡單的掛接技術。用一個 16 位的小掛接例程即可將病毒代碼附加到檔案末尾。該例程會在 \Temp 資料夾內創建一個擴展名為 .exe 的臨時檔案,然後執行此檔案。此後,該例程會刪除此臨時執行檔。這樣,Wsock32.dll 檔案就感染了實際的蠕蟲體。PE 可執行程式的檔案感染過程複雜得多。只有當 PE 檔案的代碼部分足夠長時,才會受到感染。病毒感染外掛程式會擠滿原始碼區,如果位置合適,還會覆蓋該代碼區。這種複雜的非啟發式感染技術很難修復,但也不是不可能修復。
如果系統正在使用 Wsock32.dll 檔案,則該蠕蟲不能對其進行修改。此時,蠕蟲會在下列某個子鍵中添加一個註冊表項:
HKEY_LOCAL_MACHINE\Software\Microsoft\
Windows\CurrentVersion\RunOnce
HKEY_CURRENT_USER\Software\Microsoft\
Windows\CurrentVersion\RunOnce
當蠕蟲從一台計算機傳播到另一台計算機時,總是會從這兩個鍵中選擇一個。該蠕蟲會鉤連到 Wsock32.dll 檔案的下列出口上:
send()
recv()
connect()
無論何時傳送電子郵件,蠕蟲都會向同一個收件人傳送另一封郵件,並附帶自身的一個副本,該附屬檔案採用的是隨機產生的檔案名稱。
建議
賽門鐵克安全回響中心建議所有用戶和管理員遵循以下基本安全“最佳實踐”:
* 禁用並刪除不需要的服務。 默認情況下,許多作業系統會安裝不必要的輔助服務,如 FTP 伺服器、telnet 和 Web 伺服器。這些服務可能會成為攻擊所利用的途徑。 如果將這些服務刪除,混合型威脅的攻擊途徑會大為減少,同時您的維護工作也會減少,只通過補丁程式更新即可完成。
* 如果混合型威脅攻擊了一個或多個網路服務,則在套用補丁程式之前,請禁用或禁止訪問這些服務。
* 始終安裝最新的補丁程式,尤其是那些提供公共服務而且可以通過防火牆訪問的計算機,如 HTTP、FTP、郵件和 DNS 服務(例如,所有基於 Windows 的計算機上都應該安裝最新的 Service Pack)。. 另外,對於本文中、可靠的安全公告或供應商網站上公布的安全更新,也要及時套用。
* 強制執行密碼策略。 複雜的密碼使得受感染計算機上的密碼檔案難以破解。這樣會在計算機被感染時防止或減輕造成的損害。
* 配置電子郵件伺服器以禁止或刪除帶有 vbs、.bat、.exe、.pif 和 .scr 等附屬檔案的郵件,這些檔案常用於傳播病毒。
* 迅速隔離受感染的計算機,防止其對企業造成進一步危害。 執行取證分析並使用可靠的介質恢復計算機。
* 教育員工不要打開意外收到的附屬檔案。 並且只在進行病毒掃描後才執行從網際網路下載的軟體。如果未對某些瀏覽器漏洞套用補丁程式,那么訪問受感染的網站也會造成病毒感染。
要刪除 W95.Hybris.gen 蠕蟲,請執行下列操作:
1. 運行 LiveUpdate,確保您的病毒定義是最新的。必須是 2000年 9 月 25 日或以後的病毒定義版本。
2. 啟動 NAV,然後執行完整的系統掃描。確保 NAV 設定為掃描所有檔案。當檢測到受感染的檔案時,請執行下列操作:
* 當檢測到 Wsock32.dll 檔案受感染時,請選擇“修復”。大多數情況下,NAV 能修復該檔案。如果 NAV 不能修復該檔案,則需要用 Windows 安裝光碟中的相應檔案將其替換。如果需要替換此檔案,請參閱下一部分中的指導。
注意:如果 NAV 無法在 Windows 正常模式下修復 Wsock32.dll,則應嘗試在安全模式下進行修復。這種情況在連線到網路時尤其可能發生。在這種情況下,當 NAV 嘗試進行修復時,會出現“共享衝突”訊息。要在安全模式下進行嘗試,請重新啟動計算機進入安全模式。(如果需要相關幫助,請閱讀文檔:如何以安全模式重新啟動 Windows 9x 或 Windows Me。)如果仍然不能成功,請按照下一部分中的指導,提取該檔案的一個新副本。
* 刪除檢測到的其他所有檔案(它們的內容已被蠕蟲覆蓋)。必須從備份中將其還原,如果是套用軟體,則必須重新安裝。
3. 如果 Windows 桌面上出現一個旋轉的螺旋圖像,還必須執行其他操作將其刪除。請參閱“刪除旋轉螺旋圖像”部分。
提取 Wsock32.dll 檔案的新副本:
只有當 Wsock32.dll 檔案不能修復時,才有必要執行此操作。必須在命令 (DOS) 提示符下運行 Extract 命令。請根據您所使用的作業系統按照下列相應指導進行操作。
提供此信息是為了方便用戶。我們已提供了 Windows 95/98/Me 的詳細指導,這些作業系統是受此蠕蟲影響最深的。這些指導應適用於這些作業系統的大多數版本。在大多數情況下,此操作在 Windows 2000/XP 下不必要,因為這些系統的檔案保護功能應當會防止 Wsock32.dll 檔案被覆蓋(除非禁用了檔案保護功能)。
下列文檔提供了有關如何提取檔案的通用指導。具體的步驟會因您作業系統的配置、檔案所在的位置等等而略有不同。有關其他信息,請閱讀 Windows 文檔、幫助檔案或與 Microsoft 聯繫。
* Microsoft 知識庫文章 How to Extract Original Compressed Windows Files(文章 ID Q129605)包含針對 Windows 95/98/Me 的詳細信息。
* 如何在 Windows 98 和 Windows Me 中提取檔案。
* 如何在 Windows 2000 或 Windows NT 4.0 中提取檔案。
* 如何還原 Windows XP 中的系統檔案。
注意:
* 需要一張 Windows 98/Me 啟動盤。(如果使用的是 Windows 95,仍然需要一張在 Windows 98/Me 計算機上創建的啟動盤)。有關如何創建啟動盤的指導,請參閱文檔:如何創建 Windows 啟動盤。
* 準備好 Windows 安裝光碟。
* 當鍵入命令時,請用您的 CD-ROM 驅動器的驅動器盤符替換字母 x。例如,如果作業系統為 Windows 98 並且 CD-ROM 驅動器是驅動器 D,則應鍵入
extract /a d:\win98\precopy1.cab wsock32.dll /L c:\windows\system
* 如果 Windows 未安裝在 C:\Windows,而是安裝在另一個資料夾中,請在命令的最後一部分(指代 \Windows\System 資料夾)中,替換上相應的路徑或資料夾名稱。
* 有關 Extract 命令的詳細使用指導,請參閱 Microsoft 文檔:How to Extract Original Compressed Windows Files,文章 ID:Q129605。
* 一種相對較為容易的方法是使用系統檔案檢查器還原檔案(如果使用的是 Windows 98)。有關如何進行此項操作的指導,請參閱 Windows 文檔。
1. 關閉計算機,關掉電源。關閉計算機後,在軟碟驅動器中插入 Windows 98/Me 啟動盤並重新啟動計算機。在選單中選擇 Start with CD-ROM support。
2. 根據您的作業系統鍵入下面相應的命令:
* 如果作業系統為 Windows 98,請鍵入下列命令,然後按 Enter 鍵:
extract /a x:\win98\precopy1.cab wsock32.dll /L c:\windows\system
* 如果作業系統為 Windows 95,請鍵入下列命令,然後按 Enter 鍵:
extract /a x:\win95\win95_02.cab wsock32.dll /L c:\windows\system
3. 如果出現任何錯誤訊息,請重複步驟 2,並確保鍵入的命令是適用於此作業系統的正確命令,而且與以上顯示命令的完全一致。否則,鍵入 exit,然後按 Enter 鍵。
刪除旋轉螺旋圖像:
W95.Hybris.Gen 使用幾種不同的外掛程式,最常見的是一個大的旋轉螺旋圖像。如果 Windows 桌面上出現該圖像,請按照文檔:W95.Hybris.Plugin 中的指導執行操作。
描述者: Cary Ng