)W95.Hybris.Plugin
发现: 2000 年 12 月 21 日
更新: 2007 年 2 月 13 日 11:35:10 AM
别名: I-Worm.Hybris.plugin 【Kaspersk, W32/Hybris.plugin@MM 【McAfee】, WORM_HYBRIS.PLG 【Trend】, W32/Hybr-Plugin 【Sophos】, Win32.Hybris.plugin 【Computer
类型: Worm
感染长度: varies
受感染的系统: Windows 95, Windows 98, Windows Me
由于提交率的降低,Symantec 安全响应中心自 2004 年 1 月 6 日起,将此威胁的级别从 3 类降为 2 类。
W95.Hybris.plugin 是一种用于检测 W95.Hybris.gen 蠕虫下载的任何加密插件的普通程序。
防护
* 病毒定义(每周 LiveUpdate™) 2000 年 12 月 21 日
* 病毒定义(智能更新程序) 2000 年 12 月 21 日
广度
* 广度级别: Low
* 感染数量: More than 1000
* 站点数量: More than 10
* 地理位置分布: Medium
* 威胁抑制: Moderate
* 清除: Difficult
损坏
* 损坏级别: Low
分发
* 分发级别: High
在感染系统后,W95.Hybris.gen 蠕虫会尝试连接到新闻组 alt.comp.virus。如果蠕虫连接成功,就会执行下列操作:
1. 将自己的加密插件上载到此新闻组。
2. 浏览新闻组消息的主题标题,查找其他的附加插件,并试图匹配一种特定的格式。主题标题将指定所附加插件的版本号。
3. 如果找到插件的更新版本,蠕虫会下载更新的模块并更新自己的行为。
注意:插件的种类有许多种,其特征各不相同。最常见的一种是显示一个覆盖 Windows 桌面的大螺旋图像,并且阻止您使用 Windows。另一种插件与其行为相似,不过显示的是一个黑色实心圆。
插件可能执行下列一种或多种操作:
* 产生一个螺旋图像。螺旋图像文件运行的时间取决于系统的日期和时间(从 2001 年开始,9 月 16 日和 24日以及每小时的第 59 分钟)。执行时,最初会加载 OpenGL 库(用于绘制大的黑白相间的螺旋图像)。此插件还会将自身注册为服务,所以在“关闭程序”对话框中不会显示。
* 感染 DOS 可执行程序。DOS .exe 感染是一种相当简单的挂接技术。用一个 16 位的小挂接例程即可将病毒代码附加到文件末尾。该例程会在 \Temp 文件夹内创建一个扩展名为 .exe 的临时文件,然后执行此文件。此后,该例程会删除此临时可执行文件。这样,Wsock32.dll 文件就感染了此蠕虫。
* 感染 PE 可执行程序。PE 可执行程序的文件感染过程复杂的多。只有代码部分足够长的大型 PE 文件才会受到感染。病毒感染插件会挤满源代码区,如果位置合适,还会覆盖该代码区。这种复杂的非启发式感染技术很难修复,但也不是不可能修复。目前, SARC 将该插件检测为 W95.Hybris.F,并且已经创建了一种杀毒工具来删除此插件。单击此处可获得 W95.HybrisF 修复工具。
* 感染从 C:到 Z:的所有可用驱动器上的全部 .zip 和 .rar 档案文件。当此蠕虫感染 .zip 和 .rar 文件时,会将档案中的 .exe 文件重命名为扩展名为 .ex$ 的文件,并以 .exe 为扩展名将该蠕虫的副本添加到此档案文件中(这是伴随感染)。
* 将包含加密插件的邮件发送到 alt.comp.virus 新闻组,然后从那里获得新的插件。
* 将蠕虫传播到感染了 Backdoor.SubSeven 特洛伊木马程序的远程计算机上。此插件会在 Web 上检测此类计算机,并使用 SubSeven 命令将蠕虫的副本上载到感染了 SubSeven 的计算机上。
* 用多态的加密环将蠕虫副本加密,再以电子邮件附件的形式将其发送给他人。
建议
赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”:
* 禁用并删除不需要的服务。 默认情况下,许多操作系统会安装不必要的辅助服务,如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除,混合型威胁的攻击途径会大为减少,同时您的维护工作也会减少,只通过补丁程序更新即可完成。
* 如果混合型威胁攻击了一个或多个网络服务,则在应用补丁程序之前,请禁用或禁止访问这些服务。
* 始终安装最新的补丁程序,尤其是那些提供公共服务而且可以通过防火墙访问的计算机,如 HTTP、FTP、邮件和 DNS 服务(例如,所有基于 Windows 的计算机上都应该安装最新的 Service Pack)。. 另外,对于本文中、可靠的安全公告或供应商网站上公布的安全更新,也要及时应用。
* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。
* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件,这些文件常用于传播病毒。
* 迅速隔离受感染的计算机,防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。
* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序,那么访问受感染的网站也会造成病毒感染。
普通杀毒指导:
1. 运行 LiveUpdate,确保您的病毒定义是最新的。
2. 确保 Norton AntiVirus 设置为扫描所有文件。
3. 以安全模式重新启动计算机 (Windows 95/98/Me)。
4. 运行完整的系统扫描。
* 如果 Norton AntiVirus 检测到 W95.HybrisF,则重新启动进入正常模式,然后下载并运行 W95.HybrisF 修复工具。此工具将修复被 W95.HybrisF.plugin 病毒感染的所有 Windows 可执行文件。
* 如果 Norton AntiVirus 检测到 W95.HybrisF 以外的感染,则选择修复所有受感染文件。如果 Norton AntiVirus 不能修复这些文件,则选择将其删除。
5. 当扫描完成后,重新启动进入正常模式。
删除黑白相间螺旋或黑色圆图像指导:
螺旋图像或圆图像是从 Win.ini 文件的 run= 行加载的。在大多数情况下,因为螺旋图像会阻止您打开程序,所以需要:
1. 运行 LiveUpdate,然后运行完整的系统扫描。
2. 以安全模式重新启动计算机。
3. 确保 Windows 设置为显示所有文件。
4. 从 Win.ini 文件的 Run 行删除对插件的引用。
5. 查找并删除插件本身。
6. 从 Cab 文件中提取 Wsock32.dll 文件。
7. 运行 LiveUpdate,然后运行完整的系统扫描。
更新和扫描:
1. 运行 LiveUpdate,确保您的病毒定义是最新的。
2. 启动 Norton AntiVirus (NAV),然后运行完整的系统扫描,确保 NAV 设置为扫描所有文件。
3. 如果有任何文件被检测为受到感染,则单击“修复”。
在安全模式下重新启动计算机:
* Windows 95:
1. 退出所有程序。
2. 单击“开始”,然后单击“关闭系统”。“关闭 Windows”对话框出现。
3. 单击“重新启动计算机”,然后单击“是”。
4. 当屏幕上出现“正在启动 Windows 95…”时,按 F8 键。将出现 Windows 95 启动菜单。
5. 按下与安全模式对应的数字,然后按 Enter 键。Windows 将以安全模式启动。
* Windows 98:
1. 单击“开始”,然后单击“运行”。
2. 键入 msconfig,然后单击“确定”。“系统配置实用程序”对话框出现。
3. 在“常规”选项卡上单击“高级”。
4. 选中“启用‘启动’菜单”,单击“确定”,然后再次单击“确定”。
5. 退出所有程序。
6. 单击“开始”,然后单击“关闭系统”。将出现“关闭 Windows”对话框。
7. 单击“重新启动计算机”,然后单击“是”。计算机将重新启动。
8. 当 Windows 98 启动菜单出现时,按下与安全模式对应的数字,然后按 Enter 键。Windows 将以安全模式启动。
将 Windows 设置为显示所有文件:
1. 启动 Windows 资源管理器。
2. 单击“查看”菜单 (Windows 95/98) 或“工具”菜单 (Windows Me),然后单击“选项”或“文件夹选项”。
3. 单击“查看”选项卡,如果必要,取消选中“隐藏已知文件类型的扩展名”。
4. 单击“显示所有文件”,再单击“确定”。
编辑 Win.ini 文件:
1. 单击“开始”,然后单击“运行”。
2. 键入 sysedit,然后单击“确定”。
3. 单击 Win.ini 文件的标题栏。
4. 在 【windows】 部分,找到 Run= 行,注意等号 (=) 后面的内容。例如,可能出现:
run=C:\Windows\System\amiaamia.exe
记录下文件名,如amiaamia.exe。
5. 将光标置于等号 (=) 右侧并删除其后面的文本。完成后,该行应如下所示:
run=
6. 单击“文件”菜单,然后单击“退出”。当询问是否保存所做更改时,单击“是”。
删除插件文件:
1. 单击“开始”,指向“查找”,然后单击“文件或文件夹”。
2. 请确保“搜索”设置为 (C:),并且选中了“包含子文件夹”。
3. 在“名称”对话框中,键入上一部分步骤 4 中记录的文件名。
注意:上一部分步骤 4 中的文件名仅为一个示例。在 Win.ini 文件中生成这一项的插件会创建一个比较随机的文件名。(文件名并不是完全随机的,因为该文件名已被报告过多次。)文件名通常由八个字母组成,扩展名为 .exe。这八个字母实际由两个相同的四字母序列组成。例如:
o Gbpkgbpk.exe
o Aboaaboa.exe
o Enpeenpe.exe
o Agaiagai.exe
4. 单击“开始查找”。
5. 找到文件后,将其选定,按 Delete 键,然后单击“是”确认。
6. 以正常模式重新启动计算机。
注意:如果使用的是 Microsoft 系统配置实用程序来启用启动菜单,则此时可以禁用启动菜单。这仅适用于 Windows 98 用户。请执行下列操作:
1. 单击“开始”,然后单击“运行”。
2. 键入 msconfig,然后单击“确定”。“系统配置实用程序”对话框出现。
3. 在“常规”选项卡上单击“高级”。
4. 取消选中“启用‘启动’菜单”,单击“确定”,然后再次单击“确定”。
5. 重新启动计算机。
提取 Wsock32.dll 文件的新副本:
此操作非常必要,因为该文件易被病毒感染,而在 Internet 访问以及计算机使用方面,该文件至关重要。需要在 DOS 提示符下使用 Extract 命令,从 Windows 安装文件中还原这些文件的完好副本。
该文件可从两个位置提取:
* 硬盘驱动器上的 Windows 安装文件。在许多较新的计算机上,包含 Windows 安装文件的 .cab 文件存储在计算机的硬盘驱动器上。如果确定是属于这种情况,请参阅“提取位于硬盘驱动器上的文件”部分。
* Microsoft Windows 95/98 安装光盘。如果 .cab 文件不位于硬盘驱动器上,请参阅“提取位于安装光盘上的文件”部分。
警告:如果已经从 Windows 95 升级到 Windows 98,那么除非能确定硬盘驱动器上的 cabinet 文件来自 Windows 98,否则,应该从安装光盘上而不是从硬盘驱动器上的文件中提取该文件。
注意:
* 提供这些指导是为了方便用户。提取 Windows 文件使用的是 Microsoft 程序和命令。Symantec 不对 Microsoft 产品提供担保支持或帮助。但是,为了用户方便,现在 Symantec 为一系列非 Symantec 产品提供收费的技术支持与帮助,其中包括 Microsoft 的产品。可以拨打电话 (800) 745-6032 与 Symantec Multivendor Support 联系。另外,建议您与 Microsoft 联系以获得有关此类问题的帮助。
* 目前 Windows 安装光盘有多种版本。这些版本可能将所需文件存放在 .cab 文件的不同位置。在下列指导中,提供的命令会指示提取程序在某一特定位置开始搜索,同时命令中还包含“/a”转换参数。此命令转换参数能使提取程序顺次循环搜索下列所有的 cabinet 文件,直到找到所指示的文件为止。但是,它不会搜索前面提到的 .cab 文件。
提取位于硬盘驱动器上的文件:
1. 键入 dir /s /b \precopy1.cab,然后按 Enter 键:这会显示 Precopy1.cab 文件的路径。如果找不到该文件,则 .cab 文件可能不位于硬盘驱动器上。在这种情况下,应跳到“提取位于安装光盘上的文件”部分。
2. 更改到 Precopy1.cab 文件所在的文件夹。
3. 下一步操作取决于您使用的操作系统:
注意:
+ 如果输入任何命令后都出现 File not found,请确认键入的命令与下面显示的命令完全一致。
+ 如果出现消息提示您是否覆盖文件,请按代表“是”的 Y 键,然后按 Enter 键。
+ 如果 Windows 安装在其他位置,请用正确的路径替换命令中相应的部分。
警告:请小心键入要提取文件的目标路径,如 C:\Windows。如果键入一个不存在的目标文件夹,则提取命令将创建此新文件夹,并且在不提示您确认此创建的情况下,将文件提取到此文件夹内。结果会导致被感染的 Windows 系统文件未被覆盖。
o 如果使用的是 Windows 98,请键入下列命令,然后按 Enter 键:
extract /a precopy1.cab wsock32.dll /L c:\windows\system
o 如果使用的是 Windows 95,请键入下列命令,然后按 Enter 键:
extract /a win95_10.cab wsock32.dll /L c:\windows\system
提取位于安装光盘上的文件:
注意:
* 下列指导适用于分发范围最为广泛的 CD 版 Windows 95/98 。不过,在众多版本中有一部分是以软盘形式分发的。每个版本的 .cab 文件所在的位置都可能不同,或者需要提取的文件所在的 .cab 文件不同。本文档不包含对每个版本的指导。
* 如果您的 Windows 安装光盘与下列命令中显示的不一致,则必须将命令中的路径更改为与您所使用的版本对应的正确路径。此外还必须找到包含要提取文件的 .cab 文件。有关详细信息,请参阅文档:哪些 cabinet 文件包含原始 Windows 文件?
1. 在软盘驱动器中插入 Windows 98 启动盘。
2. 在 CD-ROM 驱动器中插入 Windows 98 安装光盘。
3. 关闭计算机,然后等待三十秒钟。
4. 打开计算机。计算机进入到启动菜单。
5. 默认菜单项为 Start Computer with CD-ROM Support。不进行任何更改,而按 Enter 键。
6. 允许计算机启动到 A:\> 提示符。这一过程可能需要几分钟的时间。
7. 下一步是转到 CD-ROM 驱动器。因为使用的是启动盘,所以驱动器盘符将比通常代表 CD-ROM 驱动器的盘符高一位。例如,如果 CD-ROM 驱动器在 Windows 中为驱动器 D,则为驱动器 E。
键入下列内容(如有必要,更改驱动器盘符),然后按 Enter 键:
e:\win98(如果安装盘是用于 Windows 98 的)
或
e:\win95(如果安装盘是用于 Windows 95 的)
如果出现错误消息,则尝试重新键入命令,但使用另一驱动器盘符,如 f:\win98
8. 下一步操作取决于您所运行的 Windows 版本:
注意:
+ 如果输入任何命令后都出现 File not found,请确认键入的命令与下面显示的命令完全一致。
+ 如果出现消息询问您是否覆盖文件,请按代表“是”的 Y 键,然后按 Enter 键。
+ 如果 Windows 安装在其他位置,请替换为适当的路径。
警告:请小心键入要提取文件的目标路径,如 C:\Windows。如果键入一个不存在的目标文件夹,则提取命令将创建此新文件夹,并且在不提示您确认此创建的情况下,将文件提取到此文件夹内。结果会导致被感染的 Windows 系统文件未被覆盖。
o 如果运行的是 Windows 98,请键入下列命令,然后按 Enter 键:
extract /a precopy1.cab wsock32.dll /L c:\windows\system
o 如果运行的是 Windows 95,请键入下列命令,然后按 Enter 键:
extract /a win95_10.cab wsock32.dll /L c:\windows\system
如果未出现任何错误消息,则说明提取过程已完成。
再次运行扫描
要确认现在已删除了所有的被感染文件,请运行 LiveUpdate,然后运行完整的系统扫描。
描述者: Richard Cave
