Hybris, il primo virus che spamma

Il worm potrebbe circolare ancora per molti mesi e rimane nella lista nera dei codici che allertano i produttori di antivirus. In Italia continua a girare anche per la colpevole disattenzione di molti provider
Il worm potrebbe circolare ancora per molti mesi e rimane nella lista nera dei codici che allertano i produttori di antivirus. In Italia continua a girare anche per la colpevole disattenzione di molti provider


Roma – Ancora oggi, a mesi dalla sua prima comparsa, su mailing list e newsgroup appaiono messaggi di chi, sorpreso, vede arrivare nella propria mailbox un’email senza mittente con un attachment.exe contenente un virus, Hybris. Sono mesi che questo virus circola, ormai in diverse varianti, e la sua diffusione non accenna a diminuire. Con la complicità di chi non aggiorna i propri antivirus e di molti provider disattenti.

Altri virus in circolazione, come il terribile Kakworm, non sono ancora stati “uccisi” ma la loro capacità di replicazione è infinitamente inferiore a quella di Hybris, e dunque sono segnalati molto meno frequentemente. Hybris è in effetti un virus di una nuova classe, proprio per le sue doti di “persistenza”. La differenza nel meccanismo di diffusione tra un virus come Kak, tenuto sott’occhio dai lab antivirus per i danni che può fare, e Hybris, sta in effetti nella capacità di quest’ultimo di “mutare”.

Kak, come la stragrande maggioranza dei worm che arrivano all’utente in allegati infetti di posta elettronica, non nasconde il proprio “mittente”. Questo significa che chi riceve il virus ha la possibilità di contattare chi lo ha inavvertitamente inviato e informarlo che la propria macchina è infetta e a metterlo dunque in condizione di agire per liberarsi del codice aggressivo.

Non accade lo stesso per Hybris, capace nella sua variante più diffusa di celare il mittente del messaggio e dunque rendere più complesso risalire alla macchina “infetta”.

Ciò che più colpisce di Hybris, però, è il fatto che dallo scorso ottobre, quando per la prima volta fu individuato, ha continuato a diffondersi con progressione senza conoscere soste. Pur non essendo un virus a velocissima diffusione, in quanto sfrutta le email “uscenti” per distribuirsi e non si auto-invia, per ora almeno, a tutti i destinatari delle rubriche come fanno altri worm, Hybris continua non solo a circolare liberamente ma anche a costituire oggetto di dibattito in numerosissimi “ambienti” online. Chi è iscritto a molte mailing list e chi frequenta molti di questi “ambienti” è probabile che riceva ogni giorno più di una copia del virus.

Di recente poi qualcuno ha segnalato “un’infezione nell’infezione”, quando ha iniziato a diffondersi anche in Italia la versione di Hybris che nel messaggio inserisce il testo “Snow White and the Seven dwarves” (“Biancaneve e i sette nani”) con un attachment il cui nome richiama contenuti pornografici.

Ciò che appare più sorprendente a chi segue l’epidemia, è però la colpevole disattenzione di molti provider.


Già, perché la mutazione più diffusa di Hybris, quella contenuta in un messaggio che non indica né mittente né destinatario né contiene alcuna parola scritta nel corpo del messaggio, potrebbe essere per lo più bloccata. Un “filtro” ad hoc, infatti, dovrebbe essere capace di rimuovere tutte le email che abbiano queste caratteristiche e il cui file in attachment rispondesse ad uno qualsiasi dei nomi di Hybris, a quella lunghezza e a quelle caratteristiche (file eseguibile.exe,.scr o.zip).

Un “filtro” del genere, attivato nell’ambito del network dei maggiori provider, certamente rallenterebbe e di molto la diffusione del virus. Stupisce questa apparente ignavia proprio perché alcuni provider, nelle prime settimane dall’epidemia, hanno, tra l’altro, fatto le spese dell’incursione di Hybris. E ‘ capitato ad Infinito che, come si ricorderà, decise di sospendere per alcuni giorni i propri servizi di posta elettronica dopo una “infiltrazione” di Hybris, un virus il cui obiettivo è provocare un intasamento dei sistemi.

In un newsgroup di segnalazioni, qualcuno ha fatto notare come Hybris si possa considerare “il primo virus che fa spamming”, perché con persistenza ogni giorno intasa le mailbox di migliaia di naviganti.

Proprio con filtri anti-spam e altre tecniche normalmente utilizzate per tenere “alla porta” i messaggi indesiderati, si è in parte già riusciti a limitare la diffusione del virus. Ma fino a quando tutti gli utenti infetti, normalmente ignari di esserlo, non avranno distrutto Hybris dal proprio computer, quel virus è destinato a circolare, e sono in molti tra i più esperti a ritenere che email “vuote” con un solo allegato.exe dal nome di volta in volta diverso continueranno ad arrivare per diversi mesi.

Prevenire è meglio che curare, dice uno slogan, ed ecco dunque le caratteristiche di Hybris.


Hybris è noto con diversi nomi, tra cui W32.Hybris@m e W32.Hybris.gen. Arriva, nella variante più difficile da ostacolare, in un messaggio di posta elettronica che è riconoscibile dal fatto che né mittente né destinatario vengono indicati. Come attachment al messaggio si trova un file dal nome scritto in maiuscolo ma del tutto casuale e con estensione.exe,.scr o.zip.

Il “funzionamento” di Hybris è quello di un worm modulare. Una volta aperto il file allegato all’email, infatti, si installa nel sistema modificando o rimpiazzando il file di Windows wsock32.dll. Una modifica che consente al virus di allegarsi in messaggi di posta elettronica che autoinvia segretamente ogni qual volta l’utente fa partire un proprio messaggio email.

Una volta “dentro”, il worm cerca di connettersi al newsgroup alt.comp.virus e, se ci riesce, invia le proprie definizioni sotto forma di plug-in cifrato. Allo stesso tempo controlla se le definizioni presenti sono più aggiornate e in quel caso le scarica per auto-aggiornarsi. I labs Symantec hanno rintracciato dei moduli che, per esempio, consentono al worm di infettare anche file.zip.

Hybris è noto da molto tempo e un antivirus aggiornato non dovrebbe avere problemi a individuare e distruggere il worm. Il problema, come detto, è che chi ne è infetto spesso non sospetta di esserlo.

Link copiato negli appunti

Ti potrebbe interessare

07 02 2001
Link copiato negli appunti