Historias de virus: Hybris
![]()
La revolución en el mundo vírico llegaba de la mano de
Hybris, este
i-worm dio todo un giro en la historia de los
virus. Su funcionamiento básico recuerda al de
Happy99, en cuanto a que, tras haber sido ejecutado, procedía a instalarse en el sistema modificando
«wsock32.dll
», la librería de comunicaciones por Internet empleada por
Windows. De este modo, accedía a las funciones
Connect,
recv y
send para monitorizar las acciones claves que estaban teniendo lugar en cada conexión a la Red. Por si esto fuera poco,
Hybris además cambiaba la porción de código de carga inicial de esta librería con su propio código, tras lo cual cifraba el fragmento original, para dificultar sobremanera —y convertir en una decisión arriesgada— su desinfección.
Como suele suceder, en caso de que
«wsock32.dll
» esté en memoria, activo, el
malware no era capaz de modificarlo, por lo que procedía a efectuar una copia del mismo. Con este objeto, usaba un nombre generado de manera aleatoria e incluía una instrucción para renombrarlo en el archivo
«wininit.ini
», que llevaba a cabo esta tarea en el siguiente inicio de sesión del sistema operativo afectado. A este respecto, es importante comentar que
Hybris también creaba una entrada en el registro de configuraciones del usuario por medio de la cual ejecutaba la copia del
código maligno tras el siguiente arranque. El motivo de efectuar esta operación aparentemente redundante sería la necesidad de asegurarse de que la sustitución de
«wsock32.dll
» se hacía efectiva.
El mensaje y las consecuencias de Hybris
A partir del momento en el que la librería contagiada era cargada en la memoria del ordenador, el patógeno pasaba a controlar absolutamente todas las comunicaciones que tenían lugar vía
Internet. Con este procedimiento, interceptaba nuevas direcciones de
correo electrónico a las que enviar copias de sí mismo. Se habían detectado numerosas posibilidades en torno al aspecto de los emails portadores. Las más populares fueron las que tenían por remitente
Hahaha, que contenían
un breve fragmento en alusión al cuento de Blancanieves traducido al portugués, español, inglés y francés. Se emparejaba con un asunto fijo y exhibía cuatro posibles nombres de fichero adjunto para cada idioma con referencias de tipo pornográfico.
En español, el mensaje tenía las siguientes características:
![]()
- Asunto: ¡Enanito sí, pero con que pe**zo!
- Posibles adjuntos: enano.exe
enano porno.exe
blanca de nieve.scr
enanito fisgon.exe
- Texto: Faltaba apenas un día para su aniversario de 18 años. Blancanieves fue siempre muy bien cuidada por los siete enanitos. Ellos le prometieron una *gran* sorpresa para su fiesta de cumpleaños. Al atardecer, llegaron. Tenían un brillo no común en los ojos...
Vecna, el autor de
Hybris, había publicado componentes que llevaban a cabo cuatro clases de acciones diferentes. En primer lugar, infectaban archivos
RAR y
ZIP insertando una copia de su código en ellos y suplantando a los ficheros
EXE presentes, en caso de existir. También era posible que enviasen copias del espécimen a máquinas afectadas por el troyano
SubSeven, por medio de la puerta trasera que éste dejaba abierta. Otra tercera actividad era la de cifrar los archivos adjuntos con un algoritmo polimórfico. Y, por último, infectaban archivos
EXE de formato
MZ y
PE (
DOS y
Win32).
Virus actualizable
Pero donde más sorprendía
Hybris era en su capacidad de modificar su código por medio de actualizaciones enviadas con
plug-ins. Si bien no era el primer
virus capaz de actualizarse por Internet (esta técnica ya la aportaba
Babylonia, retoño anterior del mismo autor), presentaba un par de novedades fundamentales que lo convirtieron en todo un quebradero de cabeza para las compañías
antivirus interesadas en programar antídotos para combatirlo.
Hybris recibía
plug-ins desde los grupos de noticias de Internet y éstos aparecían cifrados con algoritmo
RSA y una llave de 128
bits, de tal manera que resultaba prácticamente imposible impedir que se siga renovando por la Red. Así, recurriendo al grupo de noticias
alt.comp.virus,
Hybris iba recibiendo nuevos
plug-ins enviados por su autor, que, después de procesados, eran automáticamente instalados y asimilados por cada una de las copias del espécimen. Además, mostraban un formato peculiar con el fin de que
Hybris distinga el tipo de actualización junto a la versión de la misma y decida si era necesario descargar el mensaje e instalar el nuevo componente (almacenado en el
disco duro con un nombre generado de forma aleatoria) en el sistema.
Se habían podido encontrar varios
plug-ins que, por suerte, todavía no resultaban muy peligrosos. Aunque el
gusano se encontraba en condiciones de modificar su cifrado y el aspecto de los mensajes que enviaba en cualquier momento, obligando a las empresas
antivirus a actualizar la información de sus vacunas y descripciones.
Ver también
En el glosario: Antivirus —
Código maligno —
Gusano —
Malware —
Payload —
Plug-in —
Virus.
Más contenidoApartados: ¿Cómo optimizar y aumentar la velocidad de Internet? • ¿Cómo surge una idea? • ¿Existe la seguridad absoluta? • Consejos en la ergonomía informática • Consejos para aprender a programar • El auge de las redes sociales • En la búsqueda de archivos torrents • Entrevista laboral: cualquier cosa te llamamos • Herramientas de respaldo y recuperación de archivos • ¿Se puede estar sin Internet? • ¿Seremos dependientes de la IA como lo somos de Internet? • Una cursada diferente
Virus/gusanos: El origen de los virus • CIH • Happy99 • ILoveYou • Life Stages • Melissa • Timofónica • Infecciones vía correo electrónico • Distintas vías de infección • Virus informáticos con historia
Historias: ¿Cómo surgió la imprenta? • Acerca de paquetes ofimáticos • El CD • El MP3 • Evolución de la informática • Apple • Google • La evolución de los Disc Jockeys • Linux
• La lógica • Microsoft • Navegadores de Internet • Origen y evolución de Internet • Redes neuronales artificiales • Surgimiento de la criptografía • Tarjetas gráficas
Videojuegos/consolas: Evolución de las consolas • Evolución de los videojuegos • Inventores de videojuegos • Jugando con la Xbox • SimCity • Videojuegos violentos