Gusano de Internet con autoenvío de mail infectado con cada mail

Nombre de virus: W32/Hybris.gen @ M

Alias conocidos: I-worm.Hybris

Riesgo Infección: Alto   (Bajo, Alto, Muy Alto)

Activación: autoenvía un e-mail infectado cada vez que se envía uno

Propagación: Por ejecución del worm recibido por e-mail

Detección: Desde DATS 4101

Motor necesario: Engine 4.0.50 o superior

Infección actual: Inicial    (Inicial, Media, Elevada)
 

Se trata de un gusano de Internet que se propaga en un fichero anexado a un e-mail que envía el ordenador infectado por cada e-mail enviado. El nombre del fichero anexado es variable, generalmente relativo a enanos y a Blanca de Nieve (BlancaNieves), en cuatro idiomas, inglés, francés, portugués y castellano, aunque con pésima traducción

Es importante notar que el e-mail vírico se recibe con un contenido en uno de los cuatro idiomas indicados, siendo en mal castellano el siguiente

    Faltaba apenas un dia para su aniversario de de 18 años, Blanca de Nieve fuera  siempre
    muy bien cuidada por los enanitos. Ellos  le prometieron una *grande*  sorpresa para su
    fiesta de cumpleaños. Al atardecer, llegaron. Tenian un brillo incomun en los ojos.

Siempre recomendamos no ejecutar ningún fichero que llegue anexado a un mail que no se espera, pero además si el contenido del e-mail es raro, como el indicado, razón de más para rechazarlo y consultar al respecto.

Cuando se ejecuta el gusano, se descargan de una web de Internet varios ficheros, según el contenido del fichero INDEX.TXT que también se baja de la web del hacker, renovándose el virus a la última versión del mismo.

El principal escollo para limpiar el virus, es que cambia el WSOCK32.DLL por otro que implanta él, a base de copiarlo inicialmente en el directorio de sistema de Windows, con un nombre aleatorio de 8 letras, el cual incluye el Wininit.ini con instrucciones de sobreescribir dicho fichero en el próximo arranque, dado que en el momento de la infección está en uso y no podría

Desde la versión de DATS 4101 ya se controla dicho virus, precisando unicamente engine 4.0.50, con lo que se podrán eliminar los ficheros gusano, si bien deberá restaurarse el WSOCK32.DLL desde el CD del
Sistema Operativo o copiándolo de otro ordenador con el mismo sistema.
En nuestra web, www.satinfo.es, sección de Utilidades, podrá encontrar la utilidad ELIHYBRI.EXE que restaurará el fichero WSOCK32.DLL que haya sido infectado por este virus, en sistemas Windows 95/98/Milenium.

 
SATINFO, VIRUSCAN SPAIN SERVICE                        L.21-11-2000

Anterior