Hybris: новые опасные версии вируса обнаружены «в диком виде»

«Лаборатория Касперского» предупреждает пользователей об обнаружении нового Интернет червя Hybris. Сообщения об обнаружении этого вируса «в диком виде» поступают в Лабораторию практически со всего мира. Особая активность его распространения отмечена в странах Латинской Америки, Испании и Португалии. Также засвидетельствованы случаи заражения в России и на Украине.

Первая версия этого Интернет червя была обнаружена «Лабораторией Касперского» и рядом других разработчиков антивирусного ПО еще в конце сентября и была отнесена к разряду вирусов с низким уровнем опасности. Однако за последние несколько дней на компанию обрушилась лавина сообщений от пользователей, ставших жертвами новых версий вируса. В настоящий момент Лаборатории известно пять разновидностей Hybris, и не исключено, что в ближайшее время будут обнаружены его новые версии.

Интернет червь Hybris распространяется при помощи зараженных электронных писем и работает под MS Windows. К письму прикреплен файл, запуск которого заражает компьютер. Процесс заражения достаточно типичен и, по сути, происходит по аналогии с действиями таких известных вирусов, как Happy и MTX.

Для своего дальнейшего распространения червь заражает WSOCK32.DLL (библиотеку сетевых функций), а кроме того, перехватывает функции работы с Интернет, сканирует принимаемые и отправляемые данные, ищет в них адреса электронной почты и через некоторое время отправляет свои копии по этим адресам. При этом, поле заголовка письма, текста и имя файла-вложения выбирается случайным образом, например,

From: Hahaha hahaha@sexyfun.net
Subject: Snowhite and the seven Dwarfs — The REAL Story!
Attachment: dwarf4you.exe

Однако данный червь имеет и ряд специфических черт. Hybris содержит в себе специальные подпрограммы-компоненты (плагины) и выполняет их по мере необходимости. Функциональность червя во многом определяется именно этими подпрограммами. Они хранятся в теле червя в зашифрованном виде, при этом используется сильный алгоритм шифрования.

Основная же специфика вируса, пожалуй, в том, что Hybris поддерживает функцию обмена плагинами: отправляет имеющиеся у него подпрограммы в антивирусную конференцию «alt.comp.virus» и скачивает оттуда недостающие или более «свежие». Кроме того, плагины могут обновляться червем с Интернет-страницы автора вируса. Обнаруженные в известных версиях и на сайте плагины довольно безобидны и не наносят прямого ущерба пользователю. Однако, будучи обновленными из Интернета, могут приобрести совершенно иные функции — например, установить на компьютере троянскую программу или утилиту backdoor. И хотя практика знает случаи обновления вредоносной программы через Интернет, это — первый случай распространения подобного вируса «в диком виде».

«Мы имеем дело, пожалуй, с наиболее сложной и изощренной вредоносной программой за всю историю вирусописания, — комментирует Евгений Касперский, глава антивирусной Лаборатории, — Во-первых, ее отличает исключительный по сложности стиль программирования. Во-вторых, плагины зашифрованы достаточно сильным криптографическим алгоритмом RSA со 128-битным ключом. В-третьих, сами плагины дают возможность автору вируса модифицировать свое творение в режиме реального времени и фактически позволяют контролировать зараженные машины во всем мире».

Процедуры защиты от червя Hybris и его вариантов, известных на сегодняшний день уже добавлены в антивирусные базы «Антивируса Касперского» (AVP).

Технические подробности о принципах и порядке функционирования червя доступны на сайте Вирусная Энциклопедия Касперского.