Aquí también estamos

Glosario actualizado el

Historias de virus: Hybris

La revolución en el mundo vírico llegaba de la mano de Hybris, este i-worm dio todo un giro en la historia de los virus. Su funcionamiento básico recuerda al de Happy99, en cuanto a que, tras haber sido ejecutado, procedía a instalarse en el sistema modificando «wsock32.dll», la librería de comunicaciones por Internet empleada por Windows. De este modo, accedía a las funciones Connect, recv y send para monitorizar las acciones claves que estaban teniendo lugar en cada conexión a la Red. Por si esto fuera poco, Hybris además cambiaba la porción de código de carga inicial de esta librería con su propio código, tras lo cual cifraba el fragmento original, para dificultar sobremanera —y convertir en una decisión arriesgada— su desinfección.
Como suele suceder, en caso de que «wsock32.dll» esté en memoria, activo, el malware no era capaz de modificarlo, por lo que procedía a efectuar una copia del mismo. Con este objeto, usaba un nombre generado de manera aleatoria e incluía una instrucción para renombrarlo en el archivo «wininit.ini», que llevaba a cabo esta tarea en el siguiente inicio de sesión del sistema operativo afectado. A este respecto, es importante comentar que Hybris también creaba una entrada en el registro de configuraciones del usuario por medio de la cual ejecutaba la copia del código maligno tras el siguiente arranque. El motivo de efectuar esta operación aparentemente redundante sería la necesidad de asegurarse de que la sustitución de «wsock32.dll» se hacía efectiva.

El mensaje y las consecuencias de Hybris

A partir del momento en el que la librería contagiada era cargada en la memoria del ordenador, el patógeno pasaba a controlar absolutamente todas las comunicaciones que tenían lugar vía Internet. Con este procedimiento, interceptaba nuevas direcciones de correo electrónico a las que enviar copias de sí mismo. Se habían detectado numerosas posibilidades en torno al aspecto de los emails portadores. Las más populares fueron las que tenían por remitente Hahaha, que contenían un breve fragmento en alusión al cuento de Blancanieves traducido al portugués, español, inglés y francés. Se emparejaba con un asunto fijo y exhibía cuatro posibles nombres de fichero adjunto para cada idioma con referencias de tipo pornográfico.
En español, el mensaje tenía las siguientes características:
  • Asunto: ¡Enanito sí, pero con que pe**zo!
  • Posibles adjuntos: enano.exe
    enano porno.exe
    blanca de nieve.scr
    enanito fisgon.exe
  • Texto: Faltaba apenas un día para su aniversario de 18 años. Blancanieves fue siempre muy bien cuidada por los siete enanitos. Ellos le prometieron una *gran* sorpresa para su fiesta de cumpleaños. Al atardecer, llegaron. Tenían un brillo no común en los ojos...
Vecna, el autor de Hybris, había publicado componentes que llevaban a cabo cuatro clases de acciones diferentes. En primer lugar, infectaban archivos RAR y ZIP insertando una copia de su código en ellos y suplantando a los ficheros EXE presentes, en caso de existir. También era posible que enviasen copias del espécimen a máquinas afectadas por el troyano SubSeven, por medio de la puerta trasera que éste dejaba abierta. Otra tercera actividad era la de cifrar los archivos adjuntos con un algoritmo polimórfico. Y, por último, infectaban archivos EXE de formato MZ y PE (DOS y Win32).

Virus actualizable

Pero donde más sorprendía Hybris era en su capacidad de modificar su código por medio de actualizaciones enviadas con plug-ins. Si bien no era el primer virus capaz de actualizarse por Internet (esta técnica ya la aportaba Babylonia, retoño anterior del mismo autor), presentaba un par de novedades fundamentales que lo convirtieron en todo un quebradero de cabeza para las compañías antivirus interesadas en programar antídotos para combatirlo. Hybris recibía plug-ins desde los grupos de noticias de Internet y éstos aparecían cifrados con algoritmo RSA y una llave de 128 bits, de tal manera que resultaba prácticamente imposible impedir que se siga renovando por la Red. Así, recurriendo al grupo de noticias alt.comp.virus, Hybris iba recibiendo nuevos plug-ins enviados por su autor, que, después de procesados, eran automáticamente instalados y asimilados por cada una de las copias del espécimen. Además, mostraban un formato peculiar con el fin de que Hybris distinga el tipo de actualización junto a la versión de la misma y decida si era necesario descargar el mensaje e instalar el nuevo componente (almacenado en el disco duro con un nombre generado de forma aleatoria) en el sistema.
Se habían podido encontrar varios plug-ins que, por suerte, todavía no resultaban muy peligrosos. Aunque el gusano se encontraba en condiciones de modificar su cifrado y el aspecto de los mensajes que enviaba en cualquier momento, obligando a las empresas antivirus a actualizar la información de sus vacunas y descripciones.

Ver también

En el glosario: AntivirusCódigo malignoGusanoMalwarePayloadPlug-inVirus.

Más contenidoMás contenido

Apartados: ¿Cómo surge una idea?¿Existe la seguridad absoluta?Consejos en la ergonomía informáticaConsejos para aprender a programarEl auge de las redes socialesEn la búsqueda de archivos torrentsEntrevista laboral: cualquier cosa te llamamosEstrategias para crear un sitio web profesionalHerramientas de respaldo y recuperación de archivosPython, el lenguaje a aprenderTen tu red WiFi seguraUna cursada diferente


Virus/gusanos: El origen de los virusCIHHappy99ILoveYouLife StagesMelissaTimofónicaInfecciones vía correo electrónicoDistintas vías de infecciónVirus informáticos con historia


Historias: Acerca de paquetes ofimáticosEl CDEl MP3Evolución de la informáticaAppleGoogleLa evolución de los Disc JockeysLinuxMicrosoftNavegadores de InternetRedes neuronales artificialesSurgimiento de la criptografíaTarjetas gráficas


Videojuegos/consolas: Evolución de las consolasEvolución de los videojuegosInventores de videojuegosJugando con la Xbox