I-Worm/Hybris

I-Worm/Hybris

 

 

여기서 소개하고자 하는 웜바이러스는 Hybris로 컴퓨터 실행 시 중앙에 회오리 무늬를 나타내는 증상을 나타낸다.

Hybris의 사전적 의미는 '오만', '교만', '지나친 자신'이다. 회오리의 의미를 갖는 영어단어에는 whirlwind, cyclone, tornado가 있는데 추상적 의미를 가진 단어가 바이러스의 이름으로 되어있다. 

 

이 웜바이러스는 Vecna라고 부르는 브라질 거주자가 만든 바이러스이고 2000년 9월에 최초로 발견되어 국내에는 2000년 11월 20일에 보고되었다. 

 

웜을 실행시키면 윈도우 시스템 폴더(C:\Windows\System)의 WSOCK32.DLL파일을 변경하고, 변경하지 못하면 임의의 파일로 복사한 후 복사된 파일을 감염시키고 WININIT.INI 파일을 변경해 다음 부팅 때 변형된 파일이 WSOCK32.DLL파일로 교체되게 하고, 감염된 컴퓨터에서 메일을 보낼 때 웜을 첨부시킨다. 첨부 파일의 이름은 임의로 정해지며 약 23KB정도의 크기를 갖는다.

 

이 웜은 인터넷을 통해 플러그인을 받아 자신을 업그레이드 할 수 있다. 웹사이트 뿐 아니라 특정 뉴스그룹을 통해서도 플러그인을 다운 받아 스스로 업그레이드 할 수 있다. 플러그인은 다양한 기능이 있고 그 중 한 가지는 다음의 메일을 보낸다. 이때 제목과 내용은 영어, 프랑스어, 포르투갈어, 스페인어 중 하나가 선택된다. 

 

English Subject: Snowhite and the Seven Dwarfs - The REAL story! Message text: polite with Snowhite. When they go out work at mornign, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter... French Subject: aidé 'blanche neige' toutes ces années après qu'elle se soit enfuit de chez Message text: sa belle mère, lui avaient promis une *grosse* surprise. A 5 heures comme toujours, ils sont rentrés du travail. Mais cette fois ils avaient un air coquin... Portuguese Subject: muito feliz e ansiosa, porque os 7 anões prometeram uma *grande* surpresa. Message text: As cinco horas, os anõezinhos voltaram do trabalho. Mas algo nao estava bem... Os sete anõezinhos tinham um estranho brilho no olhar... Spanish Subject: siempre muy bien cuidada por los enanitos. Ellos le prometieron una *grande* Message text: sorpresa para su fiesta de compleaños. Al entardecer, llegaron. Tenian un brillo incomun en los ojos...

 외국 보안사이트(sophos, f-secure) 악성코드 정보에 의하면 앞에서 언급한 메일 발송 말고도 여러 가지 다양한 플러그인이 있다고 한다.

1. C:에서 Z:까지 사용가능한 모든 드라이브를 감염시키고, 웜을 감염시키는 동안 .EXE 확장자 파일을 검색해 .EX $로 이름을 바꾼 다음 원본 파일 이름을 사용해 아카이브에 자신의 복사본을 추가한다.

2. 인코딩 된 플러그인이 있는 메세지를 "alt.comp.virus"neewsgroup으로 보내고 여기서 새 플러그인을 가져온다.

3. SubSeven 백도어 트로이 목마가 설치된 원격 시스템에 바이러스를 전파한다. 플러그인은 인터넷에서 이러한 시스템을 감지하고 SubSeven 명령을 사용해 웜 복사본을 시스템에 업로드하고 생성한다.

4. 이메일에 첨부된 사본을 보내기 전에 다형성 암호화 루프로 웜 사본을 암호화한다.

5. DOS.EXE 및 Windows PE.EXE 파일에 영향을 준다. 웜은 이들 파일에 영향을 주어 웜 드롭퍼가 되고, 실행되면 웜의 EXE파일을 TEMP디렉토리에 드롭하고 실행한다.

6. 2001년 9월 16일, 24일 매시간 59분에 화면 중앙에서 회오리 문양이 나타난다.

화면 중앙에 회오리 문양이 나타나는 증상.

*이 바이러스는 내가 초등학생 때 뉴스 화면으로 본 것 같기도 하다(회오리 모양이 기억난다). 

Hybris 웜을 보도한 뉴스기사:

kbench.com/?q=node/7829

스스로 성장하는 Hybris 바이러스 확산 | 케이벤치

zdnet.co.kr/view/?no=00000010032632&from=pc

스스로 업그레이드하는 I-Worm.Win32.Hybris 출현!

 

참고:

안철수연구소

www.sophos.com/en-us/threat-center/threat-analyses/viruses-and-spyware/W32~Hybris-B/detailed-analysis.aspx 

www.f-secure.com/v-descs/hybris.shtml