Hybris, il primo virus che spamma

Il worm potrebbe circolare ancora per molti mesi e rimane nella lista nera dei codici che allertano i produttori di antivirus. In Italia continua a girare anche per la colpevole disattenzione di molti provider


Roma – Ancora oggi, a mesi dalla sua prima comparsa, su mailing list e newsgroup appaiono messaggi di chi, sorpreso, vede arrivare nella propria mailbox un’email senza mittente con un attachment.exe contenente un virus, Hybris. Sono mesi che questo virus circola, ormai in diverse varianti, e la sua diffusione non accenna a diminuire. Con la complicità di chi non aggiorna i propri antivirus e di molti provider disattenti.

Altri virus in circolazione, come il terribile Kakworm, non sono ancora stati “uccisi” ma la loro capacità di replicazione è infinitamente inferiore a quella di Hybris, e dunque sono segnalati molto meno frequentemente. Hybris è in effetti un virus di una nuova classe, proprio per le sue doti di “persistenza”. La differenza nel meccanismo di diffusione tra un virus come Kak, tenuto sott’occhio dai lab antivirus per i danni che può fare, e Hybris, sta in effetti nella capacità di quest’ultimo di “mutare”.

Kak, come la stragrande maggioranza dei worm che arrivano all’utente in allegati infetti di posta elettronica, non nasconde il proprio “mittente”. Questo significa che chi riceve il virus ha la possibilità di contattare chi lo ha inavvertitamente inviato e informarlo che la propria macchina è infetta e a metterlo dunque in condizione di agire per liberarsi del codice aggressivo.

Non accade lo stesso per Hybris, capace nella sua variante più diffusa di celare il mittente del messaggio e dunque rendere più complesso risalire alla macchina “infetta”.

Ciò che più colpisce di Hybris, però, è il fatto che dallo scorso ottobre, quando per la prima volta fu individuato, ha continuato a diffondersi con progressione senza conoscere soste. Pur non essendo un virus a velocissima diffusione, in quanto sfrutta le email “uscenti” per distribuirsi e non si auto-invia, per ora almeno, a tutti i destinatari delle rubriche come fanno altri worm, Hybris continua non solo a circolare liberamente ma anche a costituire oggetto di dibattito in numerosissimi “ambienti” online. Chi è iscritto a molte mailing list e chi frequenta molti di questi “ambienti” è probabile che riceva ogni giorno più di una copia del virus.

Di recente poi qualcuno ha segnalato “un’infezione nell’infezione”, quando ha iniziato a diffondersi anche in Italia la versione di Hybris che nel messaggio inserisce il testo “Snow White and the Seven dwarves” (“Biancaneve e i sette nani”) con un attachment il cui nome richiama contenuti pornografici.

Ciò che appare più sorprendente a chi segue l’epidemia, è però la colpevole disattenzione di molti provider.


Già, perché la mutazione più diffusa di Hybris, quella contenuta in un messaggio che non indica né mittente né destinatario né contiene alcuna parola scritta nel corpo del messaggio, potrebbe essere per lo più bloccata. Un “filtro” ad hoc, infatti, dovrebbe essere capace di rimuovere tutte le email che abbiano queste caratteristiche e il cui file in attachment rispondesse ad uno qualsiasi dei nomi di Hybris, a quella lunghezza e a quelle caratteristiche (file eseguibile.exe,.scr o.zip).

Un “filtro” del genere, attivato nell’ambito del network dei maggiori provider, certamente rallenterebbe e di molto la diffusione del virus. Stupisce questa apparente ignavia proprio perché alcuni provider, nelle prime settimane dall’epidemia, hanno, tra l’altro, fatto le spese dell’incursione di Hybris. E ‘ capitato ad Infinito che, come si ricorderà, decise di sospendere per alcuni giorni i propri servizi di posta elettronica dopo una “infiltrazione” di Hybris, un virus il cui obiettivo è provocare un intasamento dei sistemi.

In un newsgroup di segnalazioni, qualcuno ha fatto notare come Hybris si possa considerare “il primo virus che fa spamming”, perché con persistenza ogni giorno intasa le mailbox di migliaia di naviganti.

Proprio con filtri anti-spam e altre tecniche normalmente utilizzate per tenere “alla porta” i messaggi indesiderati, si è in parte già riusciti a limitare la diffusione del virus. Ma fino a quando tutti gli utenti infetti, normalmente ignari di esserlo, non avranno distrutto Hybris dal proprio computer, quel virus è destinato a circolare, e sono in molti tra i più esperti a ritenere che email “vuote” con un solo allegato.exe dal nome di volta in volta diverso continueranno ad arrivare per diversi mesi.

Prevenire è meglio che curare, dice uno slogan, ed ecco dunque le caratteristiche di Hybris.


Hybris è noto con diversi nomi, tra cui W32.Hybris@m e W32.Hybris.gen. Arriva, nella variante più difficile da ostacolare, in un messaggio di posta elettronica che è riconoscibile dal fatto che né mittente né destinatario vengono indicati. Come attachment al messaggio si trova un file dal nome scritto in maiuscolo ma del tutto casuale e con estensione.exe,.scr o.zip.

Il “funzionamento” di Hybris è quello di un worm modulare. Una volta aperto il file allegato all’email, infatti, si installa nel sistema modificando o rimpiazzando il file di Windows wsock32.dll. Una modifica che consente al virus di allegarsi in messaggi di posta elettronica che autoinvia segretamente ogni qual volta l’utente fa partire un proprio messaggio email.

Una volta “dentro”, il worm cerca di connettersi al newsgroup alt.comp.virus e, se ci riesce, invia le proprie definizioni sotto forma di plug-in cifrato. Allo stesso tempo controlla se le definizioni presenti sono più aggiornate e in quel caso le scarica per auto-aggiornarsi. I labs Symantec hanno rintracciato dei moduli che, per esempio, consentono al worm di infettare anche file.zip.

Hybris è noto da molto tempo e un antivirus aggiornato non dovrebbe avere problemi a individuare e distruggere il worm. Il problema, come detto, è che chi ne è infetto spesso non sospetta di esserlo.

La tua email sarà utilizzata per comunicarti se qualcuno risponde al tuo commento e non sarà pubblicato. Dichiari di avere preso visione e di accettare quanto previsto dalla informativa privacy

  • Anonimo scrive:
    Ma come li fanno i conti?
    In Italia abbiamo raggiunto la soglia di tot milioni di utenti.Ma come hanno fatto a conteggiarli?Alzi la mano chi ha piu' di una connessione gratuita. Probabilmente il conteggio va diviso per 2 o per 3.
    • Anonimo scrive:
      Re: Ma come li fanno i conti?
      non si sa.. dicono sia questioni di marketing... ; )- Scritto da: Poz!
      In Italia abbiamo raggiunto la soglia di tot
      milioni di utenti.
      Ma come hanno fatto a conteggiarli?

      Alzi la mano chi ha piu' di una connessione
      gratuita. Probabilmente il conteggio va
      diviso per 2 o per 3.
  • Anonimo scrive:
    Africa: non sempre è così
    Sono stato da alcuni punti di vista piacevolmente sorpreso quando, recatomi in Marocco per lavoro, ho scoperto un rapido sviluppo della telefonia cellulare parallelamente ad una più lenta ma significativa crescita della connettività alla Rete. Qui vi è la possibilità di montare fin d'ora linee ISDN, in alcuni casi anche non proprio vicino alle città!Per esperienza indiretta so anche che la stessa cosa vale per l'Egitto, anche se qui è molto più complicato trovare un supporto valido (perlomeno questa è la nostra esperienza).Ben diversa la situazione in paesi più centrali come il Senegal o la Costa d'Avorio. Qui può capitare di non riuscire, alla meglio, a superare i 28.000 bps. Il problema fondamentale di paesi come il Senegal è la pesantissima colonizzazione economica che si portano sulle spalle: un paese ricco di miniere d'oro in cui ogni grammo estratto è già di proprietà francese prima ancora di uscire dalla cava.Se paesi come il Marocco sapranno giocare bene le sue carte potrebbero guidare la rivoluzione tecnologica nel Continente Nero. Non dimentichiamoci che 'arrivare per ultimi' significa comunque portarsi dietro l'esperienza di coloro che hanno affrontato i problemi prima di loro.Nella strada verso una vera indipendenza economica di questi paesi vedrei bene un orientamento verso l'Open Source che permetterebbe lo svincolarsi dal giogo commerciale che invece ha permesso agli americani di intrappolare noi europei.
Chiudi i commenti