|
Pero donde más sorprende Hybris es por su capacidad de modificar su código por medio de actualizaciones enviadas con "plug-ins". Si bien, no es el primer virus capaz de actualizarse por Internet (esta técnica ya la aportaba el virus "Babylonia", patógeno anterior del mismo autor), presenta un par de novedades fundamentales que convierten a este espécimen en todo un quebradero de cabeza para las compañías antivirus interesadas en programar antídotos para combatirlo.
Hybris recibe "plug-ins" por medio de los grupos de noticias de Internet, y éstos aparecen cifrados con algoritmo RSA y una llave de 128 bits, de tal modo que resulta prácticamente imposible impedir que este gusano se siga actualizando por medio de Internet, sin posibilidad de bloquear direcciones o de cerrar cuentas en las que las actualizaciones se encuentren.
Así, por medio del grupo de noticias «alt.comp.virus», Hybris va recibiendo nuevos plug-ins enviados por su autor, que, tras haber sido procesados, son automáticamente instalados y asimilados por cada una de las copias del espécimen. Esta característica es la que llevó al conocido foro de debate orientado hacia la lucha antivírica a verse colapsado durante algunas semanas por un verdadero aluvión de mensajes de origen anónimo y de contenido ininteligible, que en un principio hicieron pensar a los contertulios que no se trataba más que de la broma pesada de un «spammer».
Este tipo de plug-ins que el patógeno recibe por medio del grupo de noticias «alt.comp.virus» presenta un peculiar formato por medio del cual Hybris es capaz de distinguir el tipo de actualización y la versión de la misma, para así saber si es necesario descargar el mensaje e instalar el nuevo componente (almacenado en el disco duro con un nombre generado de forma aleatoria) en el sistema.
Hasta el momento se han podido encontrar varios plug-ins que, por suerte, todavía no resultan muy peligrosos, si bien es cierto que el gusano en cualquier momento se encuentra en condiciones de modificar su cifrado y el aspecto de los mensajes que envía. De esta forma el virus obligará a las compañías antivirus a también actualizar la información de sus vacunas y descripciones.
Por ahora, Vecna, el autor de Hybris, ha publicado componentes que:
1) Infectan archivos RAR y ZIP, mediante la inserción de una copia de su código en los mismos, y suplantando a los archivos EXE presentes, en caso de existir.
2) Envían copias del espécimen a máquinas afectadas por el troyano «SubSeven», por medio de la puerta trasera que éste deja abierta.
3) Cifran los archivos adjuntos con un algoritmo polimórfico.
4) Infectan archivos EXE de formato MZ y PE (DOS y Win32).
|
