13 ноября 2000 г.

Компания "Лаборатория Касперского" сообщила об обнаружении нового Интернет-червя Hybris.

    Особая активность в его распространении замечена в странах Латинской Америки, а также Испании и Португалии. Засвидетельствованы случаи заражения этим вирусом в России и на Украине.

    Первая версия этого Интернет-червя была обнаружена еще в конце сентября и была отнесена к разряду вирусов с низким уровнем опасности. Однако, за последние несколько дней на компанию обрушилась лавина сообщений от пользователей, ставших жертвами новых версий вируса.

    В настоящий момент известно пять разновидностей Hybris, и не исключено, что в ближайшее время будут обнаружены его новые версии. Интернет-червь Hybris распространяется при помощи зараженных электронных писем и работает под MS Windows . К письму прикреплен файл, запуск которого заражает компьютер. Процесс заражения достаточно типичен и, по сути, происходит по аналогии с действиями таких известных вирусов как Happy и MTX.

    Для своего дальнейшего распространения червь заражает WSOCK32.DLL (библиотеку сетевых функций), а, кроме того, перехватывает функции работы с Интернет, сканирует принимаемые и отправляемые данные, ищет в них адреса электронной почты и через некоторое время отправляет свои копии по этим адресам. При этом, поле заголовка письма, текста и имя файла-вложения выбирается случайным образом.

    Hybris содержит в себе специальные подпрограммы-компоненты (plug-in) и выполняет их по мере необходимости. Функциональность червя во многом определяется именно этими подпрограммами. Они хранятся в теле червя в зашифрованном виде, при этом используется мощный алгоритм шифрования RSA со 128-битным ключом.

    Основная же специфика вируса состоит в том, что Hybris поддерживает функцию обмена plug-in: отправляет имеющиеся у него подпрограммы в антивирусную конференцию "alt.comp.virus" и скачивает оттуда недостающие или более "свежие". Кроме того, plug-in могут обновляться червем с Интернет-страницы автора вируса.

    Обнаруженные в известных версиях и на сайте plug-in достаточно безобидны и не наносят прямого ущерба пользователю. Однако, после обновления через Интернет они могут приобрести совершенно иные функции - например, установить на компьютере троянскую программу типа backdoor. И хотя практика знает случаи обновления вредоносной программы через Интернет, это первое широкомасштабное распространение подобного вируса "в диком виде".

    Процедуры защиты от червя Hybris и его вариантов, известных на сегодняшний день, уже добавлены в антивирусные базы "Антивируса Касперского". Технические подробности о принципах и порядке функционирования червя доступны на сайте "Вирусная Энциклопедия Касперского".