别名： W32.Hybris.gen, W32.Hybris.22528.dr, W32/Hybris.gen@M [McAfee], I-Worm.Hybris [Kaspersky], WORM_HYBRIS [Trend], W32/Hybris-A [Sophos], Win32.Hybris [CA], Full Moon

受感染的系统： Windows 95, Windows 98, Windows Me

由于提交率的降低，Symantec 安全回响中心自 2004 年 1 月 6 日起，将此威胁从 3 类降为 2 类。

电子邮件讯息或主题可能包括（但不限于）下列内容：

* Snow White and the Seven dwarves

附属档案可能有多种不同的名称，包括（但不限于）下面列出的几种：

* anpo porn(.scr

* atchim.exe

* branca de neve.scr

* dunga.scr

* dwarf4you.exe

* enano porno.exe

* joke.exe

* midgets.scr

* sexy virgin.scr

Symantec 已创建了帮助您杀除该蠕虫的互动式教程。

* 病毒定义（每周 LiveUpdate™） 2000 年 9 月 25 日

* 病毒定义（智慧型更新程式） 2000 年 9 月 25 日

* 广度级别： Low

* 感染数量： More than 1000

* 站点数量： More than 10

* 地理位置分布： Medium

* 威胁抑制： Moderate

* 清除： Moderate

* 损坏级别： Low

* 分发级别： High

* 附属档案名称： Random with EXE or SCR file name extension

当蠕虫附属档案被执行时，将修改或替换 Wsock32.dll 档案。该蠕虫一旦感染了 wsock32.dll 档案，就能监视 Internet 连线以及传入和传出的电子邮件。然后，该蠕虫会扫描电子邮件地址。当其检测到电子邮件地址（无论是从 Internet 站点上还是从正在传送或接收的电子邮件上）后，会等待一段时间，然后向检测到的地址传送受感染的邮件。

该蠕虫会试图连线到 alt.comp.virus 新闻组。如果连线成功，则将自己的加密外挂程式上载到此新闻组。该蠕虫浏览讯息的主题标题，并试图匹配一种特定的格式。如果有外挂程式，主题标题中还会指定所附外挂程式的版本号。如果找到外挂程式的更新版本，该蠕虫会将其下载，并更新自己的行为。

W95.Hybris.gen 的一个外挂程式会生成一个螺旋图像。执行时，此外挂程式最初会载入 OpenGL 库（用于绘製大的黑白相间的螺旋图像）。此外挂程式还会将自身注册为服务，因此在“关闭程式”对话框中不会显示。有关这一主题的更多信息，请参阅文档：W95.Hybris.Plugin。

该蠕虫还包含一个能感染可执行程式的外挂程式。DOS EXE 感染是一种相当简单的挂接技术。用一个 16 位的小挂接例程即可将病毒代码附加到档案末尾。该例程会在 \Temp 资料夹内创建一个扩展名为 .exe 的临时档案，然后执行此档案。此后，该例程会删除此临时执行档。这样，Wsock32.dll 档案就感染了实际的蠕虫体。PE 可执行程式的档案感染过程複杂得多。只有当 PE 档案的代码部分足够长时，才会受到感染。病毒感染外挂程式会挤满原始码区，如果位置合适，还会覆盖该代码区。这种複杂的非启发式感染技术很难修复，但也不是不可能修复。

如果系统正在使用 Wsock32.dll 档案，则该蠕虫不能对其进行修改。此时，蠕虫会在下列某个子键中添加一个注册表项：

HKEY_LOCAL_MACHINE\Software\Microsoft\

Windows\CurrentVersion\RunOnce

HKEY_CURRENT_USER\Software\Microsoft\

Windows\CurrentVersion\RunOnce

当蠕虫从一台计算机传播到另一台计算机时，总是会从这两个键中选择一个。该蠕虫会钩连到 Wsock32.dll 档案的下列出口上：

send()

recv()

connect()

无论何时传送电子邮件，蠕虫都会向同一个收件人传送另一封邮件，并附带自身的一个副本，该附属档案採用的是随机产生的档案名称。

赛门铁克安全回响中心建议所有用户和管理员遵循以下基本安全“最佳实践”：

* 禁用并删除不需要的服务。 默认情况下，许多作业系统会安装不必要的辅助服务，如 FTP 伺服器、telnet 和 Web 伺服器。这些服务可能会成为攻击所利用的途径。 如果将这些服务删除，混合型威胁的攻击途径会大为减少，同时您的维护工作也会减少，只通过补丁程式更新即可完成。

* 如果混合型威胁攻击了一个或多个网路服务，则在套用补丁程式之前，请禁用或禁止访问这些服务。

* 始终安装最新的补丁程式，尤其是那些提供公共服务而且可以通过防火墙访问的计算机，如 HTTP、FTP、邮件和 DNS 服务（例如，所有基于 Windows 的计算机上都应该安装最新的 Service Pack）。. 另外，对于本文中、可靠的安全公告或供应商网站上公布的安全更新，也要及时套用。

* 强制执行密码策略。 複杂的密码使得受感染计算机上的密码档案难以破解。这样会在计算机被感染时防止或减轻造成的损害。

* 配置电子邮件伺服器以禁止或删除带有 vbs、.bat、.exe、.pif 和 .scr 等附属档案的邮件，这些档案常用于传播病毒。

* 迅速隔离受感染的计算机，防止其对企业造成进一步危害。 执行取证分析并使用可靠的介质恢复计算机。

* 教育员工不要打开意外收到的附属档案。 并且只在进行病毒扫描后才执行从网际网路下载的软体。如果未对某些浏览器漏洞套用补丁程式，那幺访问受感染的网站也会造成病毒感染。

要删除 W95.Hybris.gen 蠕虫，请执行下列操作：

1. 运行 LiveUpdate，确保您的病毒定义是最新的。必须是 2000年 9 月 25 日或以后的病毒定义版本。

2. 启动 NAV，然后执行完整的系统扫描。确保 NAV 设定为扫描所有档案。当检测到受感染的档案时，请执行下列操作：

* 当检测到 Wsock32.dll 档案受感染时，请选择“修复”。大多数情况下，NAV 能修复该档案。如果 NAV 不能修复该档案，则需要用 Windows 安装光碟中的相应档案将其替换。如果需要替换此档案，请参阅下一部分中的指导。

注意：如果 NAV 无法在 Windows 正常模式下修复 Wsock32.dll，则应尝试在安全模式下进行修复。这种情况在连线到网路时尤其可能发生。在这种情况下，当 NAV 尝试进行修复时，会出现“共享冲突”讯息。要在安全模式下进行尝试，请重新启动计算机进入安全模式。（如果需要相关帮助，请阅读文档：如何以安全模式重新启动 Windows 9x 或 Windows Me。）如果仍然不能成功，请按照下一部分中的指导，提取该档案的一个新副本。

* 删除检测到的其他所有档案（它们的内容已被蠕虫覆盖）。必须从备份中将其还原，如果是套用软体，则必须重新安装。

3. 如果 Windows 桌面上出现一个旋转的螺旋图像，还必须执行其他操作将其删除。请参阅“删除旋转螺旋图像”部分。

提取 Wsock32.dll 档案的新副本：

只有当 Wsock32.dll 档案不能修复时，才有必要执行此操作。必须在命令 (DOS) 提示符下运行 Extract 命令。请根据您所使用的作业系统按照下列相应指导进行操作。

提供此信息是为了方便用户。我们已提供了 Windows 95/98/Me 的详细指导，这些作业系统是受此蠕虫影响最深的。这些指导应适用于这些作业系统的大多数版本。在大多数情况下，此操作在 Windows 2000/XP 下不必要，因为这些系统的档案保护功能应当会防止 Wsock32.dll 档案被覆盖（除非禁用了档案保护功能）。

下列文档提供了有关如何提取档案的通用指导。具体的步骤会因您作业系统的配置、档案所在的位置等等而略有不同。有关其他信息，请阅读 Windows 文档、帮助档案或与 Microsoft 联繫。

* Microsoft 知识库文章 How to Extract Original Compressed Windows Files）包含针对 Windows 95/98/Me 的详细信息。

* 如何在 Windows 98 和 Windows Me 中提取档案。

* 如何在 Windows 2000 或 Windows NT 4.0 中提取档案。

* 如何还原 Windows XP 中的系统档案。

注意：

* 需要一张 Windows 98/Me 启动盘。（如果使用的是 Windows 95，仍然需要一张在 Windows 98/Me 计算机上创建的启动盘）。有关如何创建启动盘的指导，请参阅文档：如何创建 Windows 启动盘。

* 準备好 Windows 安装光碟。

* 当键入命令时，请用您的 CD-ROM 驱动器的驱动器盘符替换字母 x。例如，如果作业系统为 Windows 98 并且 CD-ROM 驱动器是驱动器 D，则应键入

extract /a d:\win98\precopy1.cab wsock32.dll /L c:\windows\system

* 如果 Windows 未安装在 C:\Windows，而是安装在另一个资料夹中，请在命令的最后一部分（指代 \Windows\System 资料夹）中，替换上相应的路径或资料夹名称。

* 有关 Extract 命令的详细使用指导，请参阅 Microsoft 文档：How to Extract Original Compressed Windows Files。

* 一种相对较为容易的方法是使用系统档案检查器还原档案（如果使用的是 Windows 98）。有关如何进行此项操作的指导，请参阅 Windows 文档。

1. 关闭计算机，关掉电源。关闭计算机后，在软碟驱动器中插入 Windows 98/Me 启动盘并重新启动计算机。在选单中选择 Start with CD-ROM support。

2. 根据您的作业系统键入下面相应的命令：

* 如果作业系统为 Windows 98，请键入下列命令，然后按 Enter 键：

extract /a x:\win98\precopy1.cab wsock32.dll /L c:\windows\system

* 如果作业系统为 Windows 95，请键入下列命令，然后按 Enter 键：

extract /a x:\win95\win95_02.cab wsock32.dll /L c:\windows\system

3. 如果出现任何错误讯息，请重複步骤 2，并确保键入的命令是适用于此作业系统的正确命令，而且与以上显示命令的完全一致。否则，键入 exit，然后按 Enter 键。

删除旋转螺旋图像：

W95.Hybris.Gen 使用几种不同的外挂程式，最常见的是一个大的旋转螺旋图像。如果 Windows 桌面上出现该图像，请按照文档：W95.Hybris.Plugin 中的指导执行操作。

描述者： Cary Ng