Kaspersky Labs heeft een advies uitgebracht over een nieuw virus dat nu ‘in het wild’ is. De nieuwe Outlook-worm, genaamd Hybris, kan ernstige schade aan de computer van een gebruiker veroorzaken en is zeer geavanceerd in het schrijven van virussen. Om de recensie te citeren: ‘Wat we hier hebben is misschien wel de meest complexe en verfijnde kwaadaardige code in de geschiedenis van het creëren van virussen’, door Eugene Kaspersky, hoofd van het Antivirus Research Center van het bedrijf.
Hybris: het verhaal gaat verder Nieuwe gevaarlijke versies van het virus zijn ‘in het wild’ ontdekt
Moskou, Rusland, 13 november 2000 – Kaspersky Lab, een internationaal bedrijf voor de ontwikkeling van software voor gegevensbeveiliging, waarschuwt gebruikers voor de ontdekking van Hybris, een nieuwe internetworm. Kaspersky Lab heeft meldingen ontvangen dat dit virus over de hele wereld ‘in het wild’ wordt aangetroffen, met name actief in Latijns-Amerika, hoewel er ook in Europa infecties met dit virus zijn gedetecteerd.
De eerste versie van deze internetworm werd eind september ontdekt door Kaspersky Lab en verschillende andere ontwikkelaars van antivirussoftware en werd geclassificeerd als malware met een laag risico. De afgelopen dagen werd het bedrijf echter overspoeld met meldingen van gebruikers wier computers besmet waren met dit virus. Momenteel heeft Kaspersky Lab vijf versies van Hybris ontdekt, en naar verwachting zullen er in de nabije toekomst nieuwe varianten worden gevonden. De Hybris-internetworm verspreidt zich door zich te hechten aan geïnfecteerde e-mails en werkt alleen op MS Windows. Wanneer de ontvanger het bijgevoegde bestand uitvoert, infecteert Hybris de host-pc. De infectieprocedure is typisch voor dit type malware en wordt op dezelfde manier uitgevoerd als Happy- of MTX-virussen.
Om zich te vermenigvuldigen infecteert de worm de bibliotheek WSOCK32.DLL en onderschept hij ook de Windows-functie die de netwerkverbinding tot stand brengt; Vervolgens scant het de verzonden en ontvangen gegevens om alle e-mailadressen te vinden en stuurt kopieën van zichzelf naar die e-mailadressen. Het onderwerp, de tekst en de naam van het bijgevoegde bestand worden willekeurig gekozen, bijvoorbeeld:
Van: Hahaha Onderwerp: Sneeuwwitje en de zeven dwergen – Het ECHTE verhaal! Bijlage: dwerg4you.exe
Bovendien heeft deze worm enkele specifieke kenmerken. Hybris bevat verschillende (tot 32) componenten (plug-ins) in zijn code en voert deze uit volgens zijn behoeften. De functionaliteit van de worm wordt voornamelijk bepaald door plug-ins. Ze worden opgeslagen in het lichaam van de worm en worden gecodeerd door een zeer krachtig cryptografisch algoritme.
De belangrijkste bijzonderheid is echter dat Hybris de functionaliteit van plug-ins behoudt: het stuurt zijn eigen componenten naar de antivirusconferentie “alt.comp.virus” en downloadt daar bijgewerkte of ontbrekende plug-ins. Viruscomponenten kunnen ook door de worm worden bijgewerkt vanaf de webpagina van de auteur, via internet. Tot nu toe zijn de plug-ins in bekende versies van dit virus en die op de website relatief onschadelijk en veroorzaken ze geen directe schade. Maar het feit dat ze kunnen worden bijgewerkt, betekent dat ze compleet andere functies kunnen krijgen, bijvoorbeeld het installeren van een Trojan-achterdeur. Hoewel er al enkele gevallen zijn geweest waarin malware via internet is bijgewerkt, is dit de eerste keer dat dit op deze schaal ‘in het wild’ gebeurt.
“Wat we hier hebben is misschien wel de meest complexe en verfijnde kwaadaardige code in de geschiedenis van het creëren van virussen”, zegt Eugene Kaspersky, directeur van het antivirusonderzoekscentrum van het bedrijf. “Ten eerste wordt het gedefinieerd door een extreem complexe programmeerstijl. Ten tweede zijn alle plug-ins gecodeerd met een zeer sterke 128-bits RSA-algoritmesleutel. Ten derde geven de componenten zelf de virusauteur de mogelijkheid om zijn creatie “in realtime” te wijzigen, waardoor hij in feite geïnfecteerde computers over de hele wereld kan controleren.
De procedure voor bescherming tegen de Hybris-internetworm en zijn versies is toegevoegd aan de antivirusdatabases van Kaspersky Anti-Virus (AVP).
Meer informatie door te bezoeken http://www.kaspersky.com/.