W32/Hybris-C

Veuillez suivre les instructions de suppression des vers.

Veuillez lire les instructions de suppression des vers.

Vous aurez besoin de replacer WSOCK32.DLL. Copiez-le à partir du média original d'installation ou à partir d'un PC sain.

W32/Hybris-C est un ver capable de mettre à jour ses fonctionnalités par Internet.

Il est composé d´une partie de base et un ensemble de composants qui peuvent être mis à jour. Les composants sont stockés dans le corps du virus fortement crypté par une cryptographie 128-bit.

Exécuté, le ver infecte WSOCK32.DLL. Lorsqu´un e-mail est envoyé, le ver essaie d´envoyer, au même destinataire, une copie par pièce jointe dans un autre message.

N´importe quel autre comportement de ce ver est entièrement dépendant de l´ensemble des composants installés. Les effets des composants connus par Sophos au moment de l´écriture de cette analyse sont décrits ci-dessous.

Le texte du message e-mail est déterminé par l´un des composants installés, pouvant donc être changé en mettant à jour le mécanisme détaillé ci-dessous.

En conséquence, le message peut avoir n´importe quel sujet, n´importe quel texte et nom de fichier pour la pièce jointe.

Un composant commun au ver vérifie les paramètres de la langue de l´ordinateur qu´il a infecté et sélectionne un message selon celle-ci :

Anglais

Sujet :
Snowhite and the Seven Dwarfs - The REAL story!

Texte du message :
polite with Snowhite. When they go out work at mornign, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter...

Français

Sujet :
aidé ´blanche neige´ toutes ces années après qu´elle se soit enfuit de chez

Texte du message :
sa belle mère, lui avaient promis une *grosse* surprise. A 5 heures comme toujours, ils sont rentrés du travail. Mais cette fois ils avaient un air coquin...

Portugais

Sujet :
muito feliz e ansiosa, porque os 7 anões prometeram uma *grande* surpresa.

Texte du message :
As cinco horas, os anõezinhos voltaram do trabalho. Mas algo nao estava bem... Os sete anõezinhos tinham um estranho brilho no olhar...

Espagnol

Sujet :
siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande*

Texte du message :
sorpresa para su fiesta de compleaños. Al entardecer, llegaron. Tenian un brillo incomun en los ojos...

Les méthodes de mise à jour du ver peuvent aussi être changées car elles peuvent, elles aussi, être mises à jour. Au moment de l´écriture de cette analyse, deux méthodes ont été vues.

L´une des techniques de mise à jour essaie de télécharger les compossants cryptés à partir d´un site web qui est sûrement maintenu l´auteur du ver. Ce site web a depuis été fermé. Cependant, ce composant peut être mis à jour pour qu´il utilise des adresses web différentes.

L´autre méthode implique la mise à disposition de ses plug-ins actuels dans le forum de discussion alt.comp.virus et de les mettre à jour à partir d´autres messages par d´autres infections du ver. Ils sont encore sous une forme cryptée et ont un en-tête qui a un identifiant de quatre caractères et un numéro de version sur quatre caractères, de façon à ce que le ver sache quels plug-ins installer.

Un autre composant du ver cherche sur le PC les fichiers archive .ZIP et .RAR. Lorsque le ver trouve un de ces fichiers, il recherche un fichier .EXE à l´intérieur de l´archive, qu´il renomme en .EX$, puis ajoute une copie de lui- même dans l´archive en utilisant le nom de fichier original.

Il existe un composant "charge", qui, le 24 septembe de n´importe quelle année ou 1 minute après l´heure de n´importe quel jour de l´an 2001, affiche une grande spirale animée au milieu de l´écran qui est difficile à femer.

Il existe aussi un composant qui applique un simple cryptage polymorphique sur le ver avant qu´il ne soit envoyé. En mettant à jour ce composant, l´auteur est capable de changer complètement l´apparence du ver de malière non prédictible de façon à contrer sa détection par les produits antivirus.