W32/Hybris (Troj_Hybris)

Hybris [1] ist ein besonders fieser neuer Internet-Trojaner mit (leider) erfolgreichen Verbreitungs-Eigenschaften. Da er sich über eigene SMTP-Prozesse verbreitet, steht im Absender nicht der Name des infizierten Benutzers, sondern etwa "Hahaha - hahaha@sexyfun.net". Die Betreff-Zeilen und Attachment-Namen variieren von Sprache zu Sprache. Dieser Trojaner/Wurm steckt aber immer entweder in einer EXE-Datei (ausführbares Programm) oder in einem SCR-File (Bildschirmschoner-Endung). Ausser in Mails wurde der Schädling auch in UseNet Newsgroup-Messages gefunden. Er ist fähig, sich dorthin zu verbreiten, weil er sich im Gegensatz zu vielen anderen Viren nicht "in einem Rutsch" an den gesamten Adressbuch-Inhalt verbreitet, sondern jeder durch den Benutzer versandten Mail oder (z.B. mit Outlook Express) versandten UseNet-Message gleich noch eine zweite hinterherschickt, die natürlich wieder den Virus enthält.

Die Ur-Version dieses Virus hat selber keinen eigentlichen Schadens-Teil, dafür kann sich "Hybris" selber via Internet updaten, indem er sich neue Plugins herunterlädt, die dann für den PC allerdings schädlich sein könnten. Ein bekanntes Plugin fügt jeder ZIP- oder RAR-Datei ein infiziertes File hinzu. Ein anderes verschickt selber codierte Plugins - und zwar ausgerechnet an die Antiviren-Newsgroup "alt.comp.virus", von welcher infizierte PCs die Plugins wiederum herunterladen. In manchen Fällen öffnet er auch dem Schnüffel-Trojaner SubSeven die Tür. Und noch ein weiteres PlugIn pflanzt eine schwarz/weisse Spirale auf den Desktop.

In einer anderen Variante verschickt sich der Hybris-Wurm ohne Betreff und ohne erkennbaren Absender. Hierbei besteht der Name der Virenbeilage aus acht beliebigen Zeichen und der Endung EXE, z.b. RGSMVPSQ.EXE oder JOLFWOWL.EXE. Löschen Sie solche Mails, ohne die Beilage auszuführen.

Sollte Ihr Virenscanner diesen Virus auf Ihrem PC entdecken, müssen Sie alle infizierten Dateien ausser der Datei WSOCK32.DLL löschen. Diese Datei müssen Sie von der Windows-CD wiederherstellen. Wie das geht, steht in der entsprechenden Virenbeschreibung von TrendMicro [2]. Weitere vorzügliche Informationen über Hybris finden Sie bei Claymania (Englisch) [3] oder bei Technischen Universität Berlin (Deutsch)[4].