Luigi
31-05-2001, 18:10
Attenzione ad Hybris, vi allego le istruzioni per debellarlo sul serio:
Come prevenire ed eliminare Hybris
----------------------------------------------------
Buongiorno,
prima di passare alla descrizione (e risoluzione definitiva di questo virus), vi pregherei di inoltrare questa e-mail ai vostri conoscenti, perche' molti hanno contratto questo virus e non se ne sono ancora accorti :-(
Ampie spiegazioni le potete trovare comunque anche su http://www.untruccoalgiorno.it
Inoltre, proprio alle ore 23.50, mi hanno segnalato l'esistenza di un altro presunto virus, che si dovrebbe attivare il 25 Maggio. Ne ho fatto una descrizione nel forum di Untruccoalgiorno, qui: http://www.manuali.net/forum
Passiamo al problema di Hybris:
viste le continue richieste di informazioni riguardo a questo virus, ho preparato un testo dove spiego passo-passo cos' e' , e cosa si deve fare per prevenirlo ed eliminarlo.
La sua caratteristica principale consiste nell'inviarsi automaticamente a
tutti i contatti presenti nella rubrica dell'utente senza che quest'ultimo
se ne accorga, ed e' proprio questo che gli ha consentito di diffondersi
cosi' rapidamente.
Per l'assenza dell'oggetto e del nome del destinatario, e' stato
inizialmente considerato non particolarmente dannoso, poiche' si riteneva
che l'assenza del mittente avrebbe spinto gli utenti a non fidarsi
dell'allegato. Cosi' purtroppo non e' stato, in molti hanno aperto
l'allegato, facendo cosi raggiungere al virus dimensioni tali da preoccupare
chiunque operi in campo informatico.
Un'altra caratteristica e' quella che questo virus che si auto aggiorna.
Infatti il suo creatore ha previsto la possibilita' di doverlo aggiornare in
seguito per renderlo ancora piu' dannoso, e così ogni volta che ci
colleghiamo ad internet ed avviamo il nostro programma di posta elettronica,
il virus si colleghera' al newsgroup alt.comp.virus, dove il suo autore
potra' inserire messaggi criptati contenenti istruzioni su come agire e
quali effetti determinare sul computer infettato. Una volta trovati questi
messaggi, Hybris verifichera' la data di invio, scegliera' il piu' recente,
immagazzinera' le istruzioni impartite dal suo autore, ed al successivo
riavvio del computer le mettera' in pratica.
La versione diffusa in Italia viene inviata tramite messaggi senza oggetto,
senza mittente, senza destinatario. Ma non tutti i messaggi con queste
caratteristiche contengono virus, e non tutti quelli contenenti virus
includono Hybris. Occorre quindi visualizzare l'allegato: se il suo nome e'
composto da 8 lettere a caso piu' un'estensione .exe ed e' di 23Kb, si tratta
quasi sicuramente di Hybris. In questo caso non aprite in nessun caso e per
nessun motivo l'allegato, ed eliminate immediatamente il messaggio.
E' importante sapere che in alcuni casi e' possibile ricevere la versione in
inglese del worm. Si puo' riconoscere, perche' come oggetto avra' un testo
riguardante il sesso, auguri o il gioco. Quindi e' necessario fare molta
attenzione anche in questo caso ed eliminare qualunque email in inglese con
allegato un programma di cui non si conosce il mittente (che pero'
comparira').
Attualmente tutte le versioni in circolazione infettano il file di sistema
wsock32.dll modificandolo o sostituendolo con una nuova versione.
Trattandosi di un file di sistema, questo file non puo' essere modificato
mentre Windows e' in esecuzione, per cui Hybris aggiunge una istruzione nel
registro di configurazione di Windows in modo da modificare il suddetto file
durante il riavvio del sistema. Più in dettaglio, alcune varianti di Hybris
aggiungono un valore nella chiave RUNONCE del registro di configurazione di
Windows: (Default) = %systemdir%\TrojanName , in modo da farlo installare
non appena riavvieremo il computer. Una volta riavviato il computer ed
infettato o sostituito il file wsock32.dll, Hybris ricerchera' tutti gli
indirizzi di posta elettronica presenti sul nostro computer e si inviera' da
solo a tutti gli indirizzi presenti in rubrica senza che questi ultimi
possano ricavarne la provenienza.
Per fortuna, pero' e' possibile prevenirlo in vari modi: grazie alla sua
capacita' di inviarsi tramite messaggi senza mittente e senza oggetto, o di
mutare i nomi in modo casuale, Hybris e' in grado di superare le difese di
quasi tutti i programmi antispam disponibili. Tra i pochissimi programmi in
grado di bloccarlo vi segnaliamo Spam Terminator. Questo programma consente
di impostare vari filtri, e di bloccare quindi tutte le mail senza nome
mittente, senza oggetto, senza destinatario, e quindi sfrutta l'unico punto
debole di Hybris, eliminando direttamente tutti i messaggi con queste
caratteristiche.
E dopo averlo prevenuto, vi chiederete voi: e' possibile eliminarlo???
La risposta e' semplice: SI...
...ecco come fare:
inanzitutto sostituite il file wsock32.dll infetto con un nuovo file,
prelevandolo dal cd di installazione di Windows o da un altro computer.
Trattandosi di un file di sistema non potremo però sostituirlo mentre
Windows e' in esecuzione, quindi l'operazione va effettuata tramite MS-DOS,
posizionandosi nella cartella Windows/System e sovrascrivendo il file già
presente. Dopo aver effettuato questa sostituzione occorrerà avviare il
computer in modalità provvisoria, cercare il file win.ini nella directory
principale di Windows, modificarlo con il Blocco Note di Windows, cercare al
suo interno la stringa run=nomeworm.exe ed eliminare il riferimento al worm
installato. Ora riavviamo nuovamente il computer, e con un buon antivirus
assicuriamoci di aver eliminato definitivamente Hybris (vi consiglio il
norton). A questo punto non ci resta che fare maggiore attenzione, non
aprendo alcun programma ricevuto in allegato da persone che non conosciamo,
ed evitando di installare qualunque programma senza prima aver controllato
che non contenga alcun virus.
Come prevenire ed eliminare Hybris
----------------------------------------------------
Buongiorno,
prima di passare alla descrizione (e risoluzione definitiva di questo virus), vi pregherei di inoltrare questa e-mail ai vostri conoscenti, perche' molti hanno contratto questo virus e non se ne sono ancora accorti :-(
Ampie spiegazioni le potete trovare comunque anche su http://www.untruccoalgiorno.it
Inoltre, proprio alle ore 23.50, mi hanno segnalato l'esistenza di un altro presunto virus, che si dovrebbe attivare il 25 Maggio. Ne ho fatto una descrizione nel forum di Untruccoalgiorno, qui: http://www.manuali.net/forum
Passiamo al problema di Hybris:
viste le continue richieste di informazioni riguardo a questo virus, ho preparato un testo dove spiego passo-passo cos' e' , e cosa si deve fare per prevenirlo ed eliminarlo.
La sua caratteristica principale consiste nell'inviarsi automaticamente a
tutti i contatti presenti nella rubrica dell'utente senza che quest'ultimo
se ne accorga, ed e' proprio questo che gli ha consentito di diffondersi
cosi' rapidamente.
Per l'assenza dell'oggetto e del nome del destinatario, e' stato
inizialmente considerato non particolarmente dannoso, poiche' si riteneva
che l'assenza del mittente avrebbe spinto gli utenti a non fidarsi
dell'allegato. Cosi' purtroppo non e' stato, in molti hanno aperto
l'allegato, facendo cosi raggiungere al virus dimensioni tali da preoccupare
chiunque operi in campo informatico.
Un'altra caratteristica e' quella che questo virus che si auto aggiorna.
Infatti il suo creatore ha previsto la possibilita' di doverlo aggiornare in
seguito per renderlo ancora piu' dannoso, e così ogni volta che ci
colleghiamo ad internet ed avviamo il nostro programma di posta elettronica,
il virus si colleghera' al newsgroup alt.comp.virus, dove il suo autore
potra' inserire messaggi criptati contenenti istruzioni su come agire e
quali effetti determinare sul computer infettato. Una volta trovati questi
messaggi, Hybris verifichera' la data di invio, scegliera' il piu' recente,
immagazzinera' le istruzioni impartite dal suo autore, ed al successivo
riavvio del computer le mettera' in pratica.
La versione diffusa in Italia viene inviata tramite messaggi senza oggetto,
senza mittente, senza destinatario. Ma non tutti i messaggi con queste
caratteristiche contengono virus, e non tutti quelli contenenti virus
includono Hybris. Occorre quindi visualizzare l'allegato: se il suo nome e'
composto da 8 lettere a caso piu' un'estensione .exe ed e' di 23Kb, si tratta
quasi sicuramente di Hybris. In questo caso non aprite in nessun caso e per
nessun motivo l'allegato, ed eliminate immediatamente il messaggio.
E' importante sapere che in alcuni casi e' possibile ricevere la versione in
inglese del worm. Si puo' riconoscere, perche' come oggetto avra' un testo
riguardante il sesso, auguri o il gioco. Quindi e' necessario fare molta
attenzione anche in questo caso ed eliminare qualunque email in inglese con
allegato un programma di cui non si conosce il mittente (che pero'
comparira').
Attualmente tutte le versioni in circolazione infettano il file di sistema
wsock32.dll modificandolo o sostituendolo con una nuova versione.
Trattandosi di un file di sistema, questo file non puo' essere modificato
mentre Windows e' in esecuzione, per cui Hybris aggiunge una istruzione nel
registro di configurazione di Windows in modo da modificare il suddetto file
durante il riavvio del sistema. Più in dettaglio, alcune varianti di Hybris
aggiungono un valore nella chiave RUNONCE del registro di configurazione di
Windows: (Default) = %systemdir%\TrojanName , in modo da farlo installare
non appena riavvieremo il computer. Una volta riavviato il computer ed
infettato o sostituito il file wsock32.dll, Hybris ricerchera' tutti gli
indirizzi di posta elettronica presenti sul nostro computer e si inviera' da
solo a tutti gli indirizzi presenti in rubrica senza che questi ultimi
possano ricavarne la provenienza.
Per fortuna, pero' e' possibile prevenirlo in vari modi: grazie alla sua
capacita' di inviarsi tramite messaggi senza mittente e senza oggetto, o di
mutare i nomi in modo casuale, Hybris e' in grado di superare le difese di
quasi tutti i programmi antispam disponibili. Tra i pochissimi programmi in
grado di bloccarlo vi segnaliamo Spam Terminator. Questo programma consente
di impostare vari filtri, e di bloccare quindi tutte le mail senza nome
mittente, senza oggetto, senza destinatario, e quindi sfrutta l'unico punto
debole di Hybris, eliminando direttamente tutti i messaggi con queste
caratteristiche.
E dopo averlo prevenuto, vi chiederete voi: e' possibile eliminarlo???
La risposta e' semplice: SI...
...ecco come fare:
inanzitutto sostituite il file wsock32.dll infetto con un nuovo file,
prelevandolo dal cd di installazione di Windows o da un altro computer.
Trattandosi di un file di sistema non potremo però sostituirlo mentre
Windows e' in esecuzione, quindi l'operazione va effettuata tramite MS-DOS,
posizionandosi nella cartella Windows/System e sovrascrivendo il file già
presente. Dopo aver effettuato questa sostituzione occorrerà avviare il
computer in modalità provvisoria, cercare il file win.ini nella directory
principale di Windows, modificarlo con il Blocco Note di Windows, cercare al
suo interno la stringa run=nomeworm.exe ed eliminare il riferimento al worm
installato. Ora riavviamo nuovamente il computer, e con un buon antivirus
assicuriamoci di aver eliminato definitivamente Hybris (vi consiglio il
norton). A questo punto non ci resta che fare maggiore attenzione, non
aprendo alcun programma ricevuto in allegato da persone che non conosciamo,
ed evitando di installare qualunque programma senza prima aver controllato
che non contenga alcun virus.