TU-Logo

TU Startseite


Sicherheit im Web
Antivirus
sog. E-Mail-Viren (Hoaxes)


Software
Microsoft IE
Java / JS
Win 3.1x
Win 32
Mac
Unix
Amiga
OS/2, Atari, NeXT,...
Suchmaschinen

erweiterte Suche in diesen Seiten
Privacy Policy

 

nach oben
 

© TU Berlin, tubIT, Bearbeiter: Frank Ziemann  -  Update: 02.09.2009


Extra-Blatt (11/2000)

Virus/Wurm: W32/Hybris
(Alias: I-Worm.Hybris)

Ein Wurm mit Plug-Ins

Hybris kommt in verschiedenen Varianten von. Der Wurm versendet sich von infizierten Rechnern aus per E-Mail. Diese E-Mails sind verschieden aufgebaut:

1. Variante:
From: Hahaha <hahaha@sexyfun.net> (gefälscht)
Subject: Snowhite and the Seven Dwarfs - The REAL story!
Text: (eine Geschichte über Schneewittchen und die sieben Zwerge)
Attachment: dwarf4you.exe, joke.exe, midgets.scr, sexy virgin.scr u.a. (23 - 25 KB)

Betreff (subject) und Text existieren in vier Sprachen. 

2. Variante:
From: < > (kein Absender erkennbar)
Subject: ./.
Text: ./.
Attachment: [8 Buchstaben].exe (23 - 25 KB), z.B. FGHOEKFG.EXE, KLHFGOKL.EXE, PADJPEPA.EXE

Der Absender ist nur dann erkennbar, wenn Ihr Mail-Server den so genannten 'Envelope-From' in den Header der Mail schreibt, meist als <Return path>. Meist weiß der Absender noch nichts von seinem 'Glück'...

Hybris ist ein Wurm, der eine ähnliche Technik benutzt wie Happy99 (W32/Ska): Er ersetzt die Datei WSOCK32.DLL durch eine modifizierte Version. Er legt aber nicht wie Happy99 eine Kopie der Original-Datei an. Der Austausch geschieht bei Windows 95/98/ME durch einen Eintrag in der Datei WININIT.INI beim nächsten Systemstart:

NUL=C:\WINDOWS\SYSTEM\WSOCK32.DLL
C:\WINDOWS\SYSTEM\WSOCK32.DLL=C:\WINDOWS\SYSTEM\
dateiname.ext

Der Pfad ist nicht fest 'verdrahtet', sondern wird ggf. den Gegebenheiten angepasst. Der Dateiname variiert, meist im Schema '[8 Buchstaben].exe'.

Zusätzlich generiert Hybris einen Registry-Eintrag, der die Installation des Wurms sicher stellt, falls obige Methode nicht funktioniert (z.B. unter NT). Dieser lautet:

HKLM (oder: HKCU)\Software\Microsoft\Windows\CurrentVersion\RunOnce
  (Standard)=%WinDir%\
dateiname.ext

%WinDir% steht für das jeweilige Windows-Verzeichnis, meist C:\Windows oder C:\WINNT. 

die Hybris-Spirale Hybris verfügt über eine Plug-In-Schnittstelle, die es dem Wurm ermöglicht, neue Funktionen über das Internet herunterzuladen und so sein Verhalten komplett zu verändern. Diese Module sind verschlüsselt. Es existieren diverse Module mit verschiedenen Schadensfunktionen. So gibt es z.B. eines, das EXE-Dateien in ZIP-und RAR-Archiven umbenennt (in *.EX$) und eine Kopie von Hybris mit dem alten Dateinamen einfügt. Ein anderes Modul infiziert EXE-Dateien, die somit bei Ausführung den Wurm installieren. Das erste bekannte Modul ermöglichte ein Update über die Newsgroup alt.comp.virus und machte dieses Forum durch eine Flut infizierter Postings eine zeitlang nahezu unbenutzbar. Ein recht auffälliges Modul zeigt eine sich drehende Spirale, die mehr als die Hälfte der Bildschirmfläche einnimmt.
Hybris speichert solche Module auch als (verschlüsselte) Dateien auf der Festplatte. Sie tragen willkürlich erscheinende Namen nach dem Schema [8 Buchstaben].[3 Buchstaben], z.B. LKDFJGOL.AGF, WHGDLFKT.OJZ, etc.

Hybris entfernen

Um W32/Hybris wieder loszuwerden, kann es im günstigsten Fall genügen, die infizierte Datei WSOCK32.DLL (unter DOS) durch die Original-Version von der Windows-CD zu ersetzen. Diese finden Sie je nach Windows-Version (95/98/ME) in einem der CAB-Archive im Windows-Verzeichnis der CD. Vergleiche Anleitung für W32/MTX.
Sie sollten jedoch unbedingt den gesamten Rechner mit einem aktuellen(!) Virenscanner prüfen (auf 'alle Dateien' einstellen!). Je nach in 'Ihrem' Wurm enthaltenen Modul können weitere Dateien infiziert sein, u.U. auch ZIP- und RAR-Archive.

Infos und Updates von Antivirus-Firmen zu W32/Hybris:


nach oben | zurück zur Hoax-Seite | zurück zur Virusinfo Übersicht | zurück zur Antivirus-Seite