Bienvenido a la Enciclopedia de Virus del Laboratorio de Panda Security.
Efectos
Hybris.Wsock se activa cuando se ejecuta el fichero incluido en el mensaje de correo electrónico. A partir de ese momento produce los siguientes efectos:
Se actualiza a sí mismo mediante plugins que es capaz de descargar desde Internet.
Concretamente, puede llegar a obtener hasta 32 plugins. Algunos de ellos, corresponden a los siguientes ficheros: HTTP.DAT, NEWS.DAT, AVINET.DAT, ENCR.DAT, PR0N.DAT, SPIRALE.DAT, SUB7.DAT, AND DOSEXE.DAT.
Busca ficheros con extensión EXE dentro de los ficheros comprimidos en formato ZIP o RAR y los sustituye por una copia de sí mismo. Los ficheros originales, pasarán a tener extensión EX$.
Detecta otros ordenadores que estén afectados por el gusano Subseven y se instala en ellos.
Metodo de Infección
Hybris.Wsock crea el fichero WININIT.INI en el directorio de Windows del ordenador afectado. El contenido de este fichero es el siguiente:
[Rename]
C:\WINDOWS\SYSTEM\WSOCK32.DLL= C:\WINDOWS\ SYSTEM\< nombre aleatorio de 8 caracteres sin extensión >
Hybris.Wsock modifica el fichero WSOCK32.DLL, del siguiente modo:
-
Copia su código de infección, al final de dicho fichero.
-
Modifica las funciones connect, send y recv, incluidas dentro de dicho fichero, para que activen el código del gusano.
Dichas funciones son las encargadas de realizar los conexiones a Internet, así como del envío y de la recepción de datos. De este modo Hybris.Wsock consigue controlar todo el correo electrónico que se envía desde el ordenador afectado.
-
Copia el fichero WSOCK32.DLL en el directorio de sistema de Windows, si no puede infectarlo porque está siendo utilizando.
En tal caso, no lo copia allí con el mismo nombre, sino con un nombre de ocho caracteres elegidos al azar y sin extensión.
Además, Hybris.Wsock introduce una de las siguientes entradas en el Registro de Windows, con el fin de activarse cuando se entra en Windows:
Hybris.Wsock utiliza plugins que descarga de Internet, para actualizarse. El gusano, tiene dos formas de hacerlo:
-
Mediante el acceso a una página de Internet.
-
Mediante una conexión con grupo de noticias alt.comp.virus.
En este caso, Hybris.Wsock también envía sus plugins y comprueba los números de versión e identificador incluidos en cada uno de ellos. Así, Hybris.Wsock averigua los plugins que necesita instalar para actualizarse.
Método de Propagación
Hybris.Wsock se difunde a través del correo electrónico, mediante un mensaje de correo electrónico con las siguientes características:
-
Remitente:
Hahaha < hahaha@sexyfun.net >
-
Asunto:
Enanito si, pero con que pedazo!
-
Texto:
Faltaba apenas un dia para su aniversario de 18 años. Blanca de Nieve fuera siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande* sorpresa para su fiesta de compleaños. Al entardecer, llegaron. Tenian un brillo incomun en los ojos...
- Fichero adjunto: uno de los siguientes. Los más comunes:
ENANO.EXE, ENANO PORNO.EXE, BLANCA DE NIEVE.SCR, ENANITO FISGON.EXE
Otras posibilidades: ANNA.EXE, RAQUEL DARIAN.EXE, XENA.EXE, XUXA.EXE, SUZETE.EXE, FAMOUS.EXE, CELEBRITY RAPE.EXE, LEATHER.EXE, SEX.EXE, SEXY.EXE, HOT.EXE, HOTTEST.EXE, CUM.EXE, CUMSHOT.EXE, HORNY.EXE, ANAL.EXE, GAY.EXE, ORAL.EXE, PLEASURE.EXE, ASIAN.EXE, LESBIANS.EXE, TEENS.EXE, VIRGINS.EXE, BOYS.EXE, GIRLS.EXE, SM.EXE, SADO.EXE, CHEERLEADER.EXE, ORGY.EXE, BLACK.EXE, BLONDE.EXE, SODOMIZED.EXE, HARDCORE.EXE, SLUT.EXE, DOGGY.EXE, SUCK.EXE, MESSY.EXE, KINKY.EXE, FIST-FUCKING.EXE, AMATEURS.EXE.
-
Hybris.Wsock puede cambiar el asunto del mensaje, utilizando una combinación de las siguientes palabras: Anna, Raquel Darian, Xena, Xuxa, Suzete, famous, celebrity rape, leather, sex, sexy, hot, hottest, cum, cumshot, horny.
Además, este mensaje puede recibirse en inglés, francés y portugués. Si desea consultar el mensaje en estos idiomas, pulse aquí.
Hybris.Wsock se activa cuando se ejecuta el fichero incluido dentro del mensaje de correo electrónico.
A partir de ese momento, Hybris.Wsock comienza a propagarse. Esto lo hace enviando su mensaje de infección a los mismos destinatarios a los que el usuario afectado va enviando un mensaje de correo electrónico.
Otros Detalles
El creador de Hybris.Wsock es conocido como Vecna y su origen es brasileño.
Los plugins que utiliza están cifrados mediante un algoritmo similar al RSA, con un a clave o contraseña de 128 Bits.
Algunas copias de este gusano, están cifradas mediante una sencilla rutina semi-polimórfica.