Hybris

病毒名稱： Hybris

別名： I-Worm.Hybris , TROJ_HYBRIS.A, W32/Hybris.gen.dll@M, Worm.Hybris W32/Hybris.gen@M, W32/Hybris.plugin@M

病毒特點：

該病毒給每一個郵件系統中的人發送一個包含“隨機名.exe ”的郵件，此文件一旦運行，會感染系統目錄下的Wsock32.dll文件。蠕蟲的代碼中包含插件，用以執行該蠕蟲，並且可以從Internet的一個網站上下載。該蠕蟲的主要版本採用了半—多態加密技術。這種下載加密組件的方式與第一次使用該方法的W95/Babylonia病毒相似。

蠕蟲的主要感染目標是wsock32.dll動態鏈接庫。在感染鏈接庫的同時，它還將自身寫入文件最後部分的結尾（附着了"connect", "recv", "send"功能）；修改動態鏈接庫的入口地址並對原入口地址進行加密。

如果蠕蟲啓動時無法感染wsock32.dll，説明該文件正在被使用，那麼該蠕蟲將創建wsock32.dll的副本（文件名由8個隨機字母組成）感染它並將"rename" 指令寫入WININIT.INI文件中。那麼WSOCK32.DLL將在系統再次啓動時被替換。

蠕蟲同樣在Windows system目錄下以隨機文件名創建自身的副本，並在註冊表中添加一下鍵值：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

= %WinSystem%\WormName

或

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

= %WinSystem%\WormName

其中"WormName" 是隨機文件名。

當蠕蟲處於激活狀態時，它將截獲Windows 用於建立網絡連接的函數，包括Internet連接。蠕蟲截獲發送和接收的數據並掃描其email地址，一旦地址被檢查到，蠕蟲將等待一段時間然後將一個染毒的消息（擴展名為.EXE或 .SCR）發送給這些地址。

當Hybris被啓動後，它將從站點服務器上下載一個名為INDEX.TXT的文本文件，其中包含了蠕蟲下載的其他有用的文件列表。

該病毒包含下列代碼：

HYBRIS

(c) Vecna