发现： 2000 年 9 月 25 日

更新： 2007 年 2 月 13 日 11:35:06 AM

别名： W32.Hybris.gen, W32.Hybris.22528.dr, W32/Hybris.gen@M [McAfee], I-Worm.Hybris [Kaspersky], WORM_HYBRIS [Trend], W32/Hybris-A [Sophos], Win32.Hybris [CA], Full Moon

类型: Worm

受感染的系统： Windows 95, Windows 98, Windows Me

由于提交率的降低，Symantec 安全响应中心自 2004 年 1 月 6 日起，将此威胁从 3 类降为 2 类。

W95.Hybris 是一种通过电子邮件并以电子邮件附件形式进行传播的蠕虫。

电子邮件消息或主题可能包括（但不限于）下列内容：

* hahaha@sexyfun.net

* Snow White and the Seven dwarves

附件可能有多种不同的名称，包括（但不限于）下面列出的几种：

* anpo porn(.scr

* atchim.exe

* branca de neve.scr

* dunga.scr

* dwarf4you.exe

* enano porno.exe

* joke.exe

* midgets.scr

* sexy virgin.scr

Symantec 已创建了帮助您杀除该蠕虫的交互式教程。

防护

* 病毒定义（每周 LiveUpdate™） 2000 年 9 月 25 日

* 病毒定义（智能更新程序） 2000 年 9 月 25 日

威胁评估

广度

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： Medium

* 威胁抑制： Moderate

* 清除： Moderate

损坏

* 损坏级别： Low

分发

* 分发级别： High

* 附件名称： Random with EXE or SCR file name extension

当蠕虫附件被执行时，将修改或替换 Wsock32.dll 文件。该蠕虫一旦感染了 wsock32.dll 文件，就能监视 Internet 连接以及传入和传出的电子邮件。然后，该蠕虫会扫描电子邮件地址。当其检测到电子邮件地址（无论是从 Internet 站点上还是从正在发送或接收的电子邮件上）后，会等待一段时间，然后向检测到的地址发送受感染的邮件。

该蠕虫会试图连接到 alt.comp.virus 新闻组。如果连接成功，则将自己的加密插件上载到此新闻组。该蠕虫浏览消息的主题标题，并试图匹配一种特定的格式。如果有插件，主题标题中还会指定所附插件的版本号。如果找到插件的更新版本，该蠕虫会将其下载，并更新自己的行为。

W95.Hybris.gen 的一个插件会生成一个螺旋图像。执行时，此插件最初会加载 OpenGL 库（用于绘制大的黑白相间的螺旋图像）。此插件还会将自身注册为服务，因此在“关闭程序”对话框中不会显示。有关这一主题的更多信息，请参阅文档：W95.Hybris.Plugin。

该蠕虫还包含一个能感染可执行程序的插件。DOS EXE 感染是一种相当简单的挂接技术。用一个 16 位的小挂接例程即可将病毒代码附加到文件末尾。该例程会在 \\Temp 文件夹内创建一个扩展名为 .exe 的临时文件，然后执行此文件。此后，该例程会删除此临时可执行文件。这样，Wsock32.dll 文件就感染了实际的蠕虫体。PE 可执行程序的文件感染过程复杂得多。只有当 PE 文件的代码部分足够长时，才会受到感染。病毒感染插件会挤满源代码区，如果位置合适，还会覆盖该代码区。这种复杂的非启发式感染技术很难修复，但也不是不可能修复。

如果系统正在使用 Wsock32.dll 文件，则该蠕虫不能对其进行修改。此时，蠕虫会在下列某个子键中添加一个注册表项：

HKEY_LOCAL_MACHINE\\Software\\Microsoft\\

Windows\\CurrentVersion\\RunOnce

HKEY_CURRENT_USER\\Software\\Microsoft\\

Windows\\CurrentVersion\\RunOnce

当蠕虫从一台计算机传播到另一台计算机时，总是会从这两个键中选择一个。该蠕虫会钩连到 Wsock32.dll 文件的下列出口上：

send()

recv()

connect()

无论何时发送电子邮件，蠕虫都会向同一个收件人发送另一封邮件，并附带自身的一个副本，该附件采用的是随机产生的文件名。

建议

赛门铁克安全响应中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多操作系统会安装不必要的辅助服务，如 FTP 服务器、telnet 和 Web 服务器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程序更新即可完成。

* 如果混合型威胁攻击了一个或多个网络服务，则在应用补丁程序之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程序，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时应用。

* 强制执行密码策略。 复杂的密码使得受感染计算机上的密码文件难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件服务器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附件的邮件，这些文件常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附件。 并且只在进行病毒扫描后才执行从互联网下载的软件。如果未对某些浏览器漏洞应用补丁程序，那么访问受感染的网站也会造成病毒感染。

要删除 W95.Hybris.gen 蠕虫，请执行下列操作：

1. 运行 LiveUpdate，确保您的病毒定义是最新的。必须是 2000年 9 月 25 日或以后的病毒定义版本。

2. 启动 NAV，然后执行完整的系统扫描。确保 NAV 设置为扫描所有文件。当检测到受感染的文件时，请执行下列操作：

* 当检测到 Wsock32.dll 文件受感染时，请选择“修复”。大多数情况下，NAV 能修复该文件。如果 NAV 不能修复该文件，则需要用 Windows 安装光盘中的相应文件将其替换。如果需要替换此文件，请参阅下一部分中的指导。

注意：如果 NAV 无法在 Windows 正常模式下修复 Wsock32.dll，则应尝试在安全模式下进行修复。这种情况在连接到网络时尤其可能发生。在这种情况下，当 NAV 尝试进行修复时，会出现“共享冲突”消息。要在安全模式下进行尝试，请重新启动计算机进入安全模式。（如果需要相关帮助，请阅读文档：如何以安全模式重新启动 Windows 9x 或 Windows Me。）如果仍然不能成功，请按照下一部分中的指导，提取该文件的一个新副本。

* 删除检测到的其他所有文件（它们的内容已被蠕虫覆盖）。必须从备份中将其还原，如果是应用软件，则必须重新安装。

3. 如果 Windows 桌面上出现一个旋转的螺旋图像，还必须执行其他操作将其删除。请参阅“删除旋转螺旋图像”部分。

提取 Wsock32.dll 文件的新副本：

只有当 Wsock32.dll 文件不能修复时，才有必要执行此操作。必须在命令 (DOS) 提示符下运行 Extract 命令。请根据您所使用的操作系统按照下列相应指导进行操作。

提供此信息是为了方便用户。我们已提供了 Windows 95/98/Me 的详细指导，这些操作系统是受此蠕虫影响最深的。这些指导应适用于这些操作系统的大多数版本。在大多数情况下，此操作在 Windows 2000/XP 下不必要，因为这些系统的文件保护功能应当会防止 Wsock32.dll 文件被覆盖（除非禁用了文件保护功能）。

下列文档提供了有关如何提取文件的通用指导。具体的步骤会因您操作系统的配置、文件所在的位置等等而略有不同。有关其他信息，请阅读 Windows 文档、帮助文件或与 Microsoft 联系。

* Microsoft 知识库文章 How to Extract Original Compressed Windows Files（文章 ID Q129605）包含针对 Windows 95/98/Me 的详细信息。

* 如何在 Windows 98 和 Windows Me 中提取文件。

* 如何在 Windows 2000 或 Windows NT 4.0 中提取文件。

* 如何还原 Windows XP 中的系统文件。

注意：

* 需要一张 Windows 98/Me 启动盘。（如果使用的是 Windows 95，仍然需要一张在 Windows 98/Me 计算机上创建的启动盘）。有关如何创建启动盘的指导，请参阅文档：如何创建 Windows 启动盘。

* 准备好 Windows 安装光盘。

* 当键入命令时，请用您的 CD-ROM 驱动器的驱动器盘符替换字母 x。例如，如果操作系统为 Windows 98 并且 CD-ROM 驱动器是驱动器 D，则应键入

extract /a d:\\win98\\precopy1.cab wsock32.dll /L c:\\windows\\system

* 如果 Windows 未安装在 C:\\Windows，而是安装在另一个文件夹中，请在命令的最后一部分（指代 \\Windows\\System 文件夹）中，替换上相应的路径或文件夹名称。

* 有关 Extract 命令的详细使用指导，请参阅 Microsoft 文档：How to Extract Original Compressed Windows Files，文章 ID：Q129605。

* 一种相对较为容易的方法是使用系统文件检查器还原文件（如果使用的是 Windows 98）。有关如何进行此项操作的指导，请参阅 Windows 文档。

1. 关闭计算机，关掉电源。关闭计算机后，在软盘驱动器中插入 Windows 98/Me 启动盘并重新启动计算机。在菜单中选择 Start with CD-ROM support。

2. 根据您的操作系统键入下面相应的命令：

* 如果操作系统为 Windows 98，请键入下列命令，然后按 Enter 键：

extract /a x:\\win98\\precopy1.cab wsock32.dll /L c:\\windows\\system

* 如果操作系统为 Windows 95，请键入下列命令，然后按 Enter 键：

extract /a x:\\win95\\win95_02.cab wsock32.dll /L c:\\windows\\system

3. 如果出现任何错误消息，请重复步骤 2，并确保键入的命令是适用于此操作系统的正确命令，而且与以上显示命令的完全一致。否则，键入 exit，然后按 Enter 键。

删除旋转螺旋图像：

W95.Hybris.Gen 使用几种不同的插件，最常见的是一个大的旋转螺旋图像。如果 Windows 桌面上出现该图像，请按照文档：W95.Hybris.Plugin 中的指导执行操作。

描述者： Cary Ng