製品情報
導入事例
サービス
サポート
ダウンロード
セキュリティ情報
 
- 最新ウイルス一覧
- ウイルス検索
- 駆除ツール
- Daily DATリリースに関するFAQ
- ウイルス絵とき理解
- ウイルス画像事典
- ウイルス解析依頼
- ウイルス用語集
- ウイルスの危険度格付け
- セキュリティ対策のヒント
パートナー
会社案内
個人のお客様
中堅・中小企業のお客様
企業のお客様
製品アップグレード
評価版
セミナー・イベント
キャンペーン
サポートQ&A
お問い合わせ
Global Sites:
Home → セキュリティ情報 → ウイルス情報:H
ウイルス情報
ウイルス情報

ウイルス名
W32/Hybris.gen@M
種別ウイルス
ファイルサイズ
最小定義ファイル
(最初に検出を確認したバージョン)
4101
対応定義ファイル
(現在必要とされるバージョン)
4363 (現在7593)
対応エンジン4.0.50以降 (現在5600) 
エンジンバージョンの見分け方
別名W32/Hybris.gen@MM, dwarf4you.exe, Hybris, I-Worm.Hybris, I-Worm.Hybris.b, Snowhite and the Seven Dwarfs, TROJ_HYBRIS.A, W32/Hybris.gen.dll@M, W32/Hybris.plugin@M, W95.Hybris.Gen.dr, W95/Hybris.worm, Win98.Vecna.23040
情報掲載日00/11/09
発見日(米国日付)00/10/16
駆除補足ウイルス駆除のヒント
概要ウイルスの特徴感染症状感染方法駆除方法

セキュリティ情報

最新ウイルス一覧へ >>
最新ウイルス
10/20RDN/Generic....
10/20FakeAV-M.bfr...
10/20FakeAV-M.bfr...
定義ファイル・エンジンの
ダウンロード!
  定義ファイル:7593
 エンジン:5600
 
ウイルス検索
 


HybrisウイルスQ&Aセンター
Hybrisとは何ですか?
Hybrisウイルスに感染しているかどうか調べたい
Hybris発病による渦巻き画面を停止させる方法?
ウイルス感染WSOCK32.DLLをバックアップから修復したい
Hybrisが使っているプラグインとは何ですか


このウイルスを含むEメールメッセージには、下記のような情報が掲載されています。

差出人: Hahaha [hahaha@sexyfun.net]
件名: Snowhite and the Seven Dwarfs - The REAL story!
添付ファイル: sexy virgin.scr または joke.exe または midgets.scr または dwarf4you.exe
本文: Today, Snowhite was turning 18. The 7 Dwarfs always where very educated and polite with Snowhite. When they go out work at mornign, they promissed a *huge* surprise. Snowhite was anxious. Suddlently, the door open, and the Seven Dwarfs enter...
※日本語環境では、差出人が空欄になります。

このウイルスを実行すると、改悪したWSOCK32.DLLを、WINDOWSのSYSTEMフォルダに書き込みます。ファイル名は、適当な8文字(拡張子無し)となります。さらにWININIT.INIファイルの中に一行の命令が追加され、それにより、この新規ファイルの名前はWSOCK32.DLLに変更されます。こうしてオリジナルのWSOCK32.DLLが上書きされます。この変更は次にシステムをブートさせたときにあらわれます。
改悪されたWSOCK32.DLLファイルは、Eメールが送信されるたびに、全ての受信者に、EXEあるいはSCR形式のウイルス・コピーを添付ファイル形式で、送信しようとします。
また、Software\Microsoft\Windows\CurrentVersion\RunOnce\(default) のレジストリ値も作成されます。これにより、前回の感染WSOCK32.DLLファイル改悪の試みが失敗しても、次回にシステムを起動したときにこのウイルスが実行されます。

改悪されたWSOCK32.DLLファイルは、.EXE または .SCRの形式で、このウイルスのコピーをEメール・メッセージやウェブ・ページ、ニュースグループのポスティングの一部分などを含む、インターネット・コネクション上で送信された、すべての有効なEメールアドレスへ送信しようとします。そのため、インターネット上でのアクティビティとアテンプトすべてを見張ります。AVERTは予期しない添付ファイルは消去するよう警告します。 W32/Hybris.gen@Mは知らない間にユーザーから送られてきます。

このインターネット・ウイルスは、W95/Babyloniaで最初に用いられたものと類似した方法で暗号化された、アップデイト・コンポーネントをインターネットのウェブサイト上からダウンロードするものでした。
しかし、ウイルスのホストサイトは撤去されました。オリジナルのプラグインは、下記のとおりです。

HTTP.DAT
NEWS.DAT
ENCR.DAT
PR0N.DAT
SPIRALE.DAT
SUB7.DAT
DOSEXE.DAT
AVINET.DAT

現在、このウイルスは「alt.comp.virus」からプラグインのダウンロード続行しています。このウイルスは、アクセスできるニュースサーバーのリストを数多く含んでいます。ウイルスは、プラグインのために古いバージョンを持っていないニュースグループを探します。このウイルスはEメールアドレスを取得するために、すべてのインターネット・アクティビティを探査するので、Hybrisが新しいプラグインを「alt.comp.virus」で探しているときに、実存のEメールアドレスを使って「alt.comp.virus」にポスティングした人は、このウイルスのコピーを複数取得してしまう可能性があります。

コンピューター内のシステム時計を参照して、満月が起こる日にちであれば、このウイルスは「alt.comp.virus」ニュースグループにプラグインをランダムに送信します。ウイルスは「anon.lcs.mit.edu」のmail-to-newsゲートウェイを通じて、偽造の返信アドレス「root@microsoft.com.」と共にプラグインを送り付けます。

このインターネットウイルスは以下の文字を含みます。
HYBRIS
(c) Vecna


以下のような症状がある場合、感染の可能性があります。

  • メール受信者から、あなたの名前で送信した覚えのない添付ファイル付メールが送られてきたという苦情がきた場合
  • スクリーン上に渦巻きの画像がある場合(右図参照)
  • アンチ・ウイルス・サイトに接続できない場合(インストールされたプラグインによります)

    感染方法

    ニュースグループへおくられるメッセージの内容例は以下の通りです。

    anon.lcs.mit.edu!nym.alias.net!mail2news
    Message-ID: 20001113080521.28781.qmail@nym.alias.net
    From:
    Author-Address: anonymous anon lcs mit edu
    Subject: http [44 character alpha code]
    Mail-To-News-Contact: postmaster@nym.alias.net
    Organization: mail2news@nym.alias.net
    Newsgroups: alt.comp.virus
    Lines: 46

    KUWJGJWCVICGIWIWCZIWHCFXCHB [continues]....
    [more coded lines]
    [terminated by four asterisks]
    ****

    このプラグインは、\Windows\Systemの下に、適当な8文字をファイル名に、3文字を拡張子に、保存されます。このファイルは、パブリックキー「cryptography」を使って署名されています。つまりこのウイルスのコピーは、プライベートキーによってデジタル署名されたプラグインのみ受け付けるパブリックキーが付けられているのです。このプライベートキーを持っているのは、ウィルスの作者だけです。彼が認証するプラグインだけ、ウィルスによって受けつけられるのです。

    プラグインのいくつかは以下の通りです。

    • @@@ or SPIRALE
      渦巻きを永遠に描画するファイルを作ります。ファイル名は適当な8文字です。 そして、Win.iniの[Windows]セクションのRunキーを使ってロードされます。 インターネットウイルスによって、描画は9月24日又は2001年の分が59となる時に起こります。
    • I_RZ_Adds
      ウイルスのコピーをZIPやRARアーカイブ形式のEXEファイルとして追加します。 EXEファイルは拡張しEX$で同じ場所に置かれます
    • AVIP or AVINET.DAT 感染したコンピュータをアンチウィルスのサイトからIPアドレスによってブロックします。W95/MTXウィルスに似ています。
    • SUB7
      BackDoor-G trojanに感染したコンピュータを検索し、ウィルスをコピーして実行します。
    • ENCR or Poly
      ウィルスをpolymorphicルーチンでencryptします。
      (注意!)polymorphicルーチンの代わりに、ウィルススキャンがすべてのウィルスの順序を更新したエンジンやDATファイルを使ったときに検出します。
    • TEXT or PRON ウィルスを送るメッセージを作成します。メッセージは、インストールされているOSの言語によって、以下のようになります。

      English:

      差出人: Hahaha [hahaha@sexyfun.net]
      件名: Snowhite and the Seven Dwarfs - The REAL story!
      本文: Today, Snowhite was turning 18. The 7 Dwarfs
      always where very educated and polite with Snowhite.
      When they go out work at mornign, they promissed a
      *huge* surprise. Snowhite was anxious. Suddlently, the
      door open, and the Seven Dwarfs enter...
      添付ファイル: sexy virgin.scr or joke.exe or midgets.scr
      or dwarf4you.exe
      
      French:
      差出人: Hahaha [hahaha@sexyfun.net]
      件名: Les 7 coquir nains *or* Blanche neige et ...les
      sexe nains
      本文: C'etait un jour avant son dix huitieme
      anniversaire. Les 7 nains, qui avaient aid・'blanche
      neige' toutes ces ann馥s apr鑚 qu'elle se soit enfuit de
      chez sa belle m鑽e, lui avaient promis une *grosse*
      surprise. A 5 heures comme toujours, ils sont rentr駸 du
      travail. Mais cette fois ils avaient un air coquin...
      添付ファイル:  blancheneige.exe or sexynain.scr or
      blanche.scr or nains.exe
      
      Spanish:
      差出人: Hahaha [hahaha@sexyfun.net]
      件名: Enanito si, pero con que pedazo!
      本文: Faltaba apenas un dia para su aniversario de de 18
      aos. Blanca de Nieve fuera siempre muy bien cuidada por
      los enanitos. Ellos le prometieron una *grande* sorpresa
      para su fiesta de compleaos. Al entardecer, llegaron.
      Tenian un brillo incomun en los ojos...
      添付ファイル: enano.exe or enano porno.exe or blanca de
      nieve.scr or enanito fisgon.exe
      
      Portuguese:
      差出人: Hahaha [hahaha@sexyfun.net]
      件名: Branca de Neve porn・
      本文: Faltava apenas um dia para o seu aniversario de
      18 anos. Branca de Neve estava muito feliz e ansiosa,
      porque os 7 anes prometeram uma *grande* surpresa.
      As cinco horas, os anezinhos voltaram do trabalho.
      Mas algo nao estava bem... Os sete anezinhos tinham
      um estranho brilho no olhar...
      添付ファイル:  branca de neve.scr or atchim.exe or
      dunga.scr or an縊 porn・scr
      

      新しいプラグインのバージョンは適当な単語を選んでメールを作ります。 単語は、
      "Anna" "Raquel Darian" "Xena" "Xuxa" "Suzete" "famous" "celebrity rape" "leather" and "sex" "sexy" "hot" "hottest" "cum" "cumshot" "horny "anal" "gay" "oral" などです。

      (!注意)これらの感染したメールは実際sexy.netドメインからきているわけではありません。これは、知らない間にニセ返信アドレスと共に、感染したユーザーに送られるのです。

    • DOSEXE.DAT 又は EXEI
      Infects DOS EXE files to contain a virus dropper. These files can be repaired by VirusScan as W32/Hybris.exe.
    • I_PE
      ファイルが、サイズ変更なしに感染します。データは加わっています。そうしてチェックサムアルゴリズムの結果が、感染前、感染後で同じになるのです。こうなったファイルを治すことはできません。
    • HTTP
      This downloaded plugins from a website before it was shut down.
    • NEWS
      前に述べたように、これはプラグインを登録し、alt.comp.virusから新しいものをダウンロードします。

    プラグインは、ウィルスの性質をあっという間に変える事ができるので、 感染ユーザーは最新のエンジンやDATファイルを使うように望まれます。 そして、アンチウィルスソフトウェアはすべてのファイルをスキャンするようセットしましょう。 ウィルススキャンは、感染したwsock32.dllをw32/Hybris.gen.dll@Mと同様治す事でしょうが、弊社としては、より確かな方法として、オリジナルのディスクからこれらのファイルを再度入れ直す事をお勧めします。


    ウイルス除去の方法

    駆除には、指定されたエンジンとウイルス定義ファイルを使用して下さい。

    Windows95/98では、MS-DOSモードでコンピュータを立ち上げ直し、コマンド・ライン・スキャナの「SCANPM」でスキャンします。これにより、EXPLORER.EXE やTASKMON.EXE. などのファイルがクリーンにされます。
    コマンド・ライン・スキャナの”SCANPM.EXE C: /CLEAN /ALL”などのコマンドを使用して下さい。

    WSOCK32.DLLファイルをバックアップから復元する方法


    ■W32/Hybris.gen@Mウイルスの拡張機能により、渦巻きが画面に表示される場合があります。