病毒名称： Hybris

别名： I-Worm.Hybris , TROJ_HYBRIS.A, W32/Hybris.gen.dll@M, Worm.Hybris W32/Hybris.gen@M, W32/Hybris.plugin@M

病毒特点：

该病毒给每一个邮件系统中的人传送一个包含“随机名.exe ”的邮件，此档案一旦运行，会感染系统目录下的Wsock32.dll档案。蠕虫的代码中包含外挂程式，用以执行该蠕虫，并且可以从Internet的一个网站上下载。该蠕虫的主要版本採用了半—多态加密技术。这种下载加密组件的方式与第一次使用该方法的W95/Babylonia病毒相似。

蠕虫的主要感染目标是wsock32.dll动态程式库。在感染程式库的同时，它还将自身写入档案最后部分的结尾（附着了"connect", "recv", "send"功能）；修改动态程式库的入口地址并对原入口地址进行加密。

如果蠕虫启动时无法感染wsock32.dll，说明该档案正在被使用，那幺该蠕虫将创建wsock32.dll的副本（档案名称由8个随机字母组成）感染它并将"rename" 指令写入WININIT.INI档案中。那幺WSOCK32.DLL将在系统再次启动时被替换。

蠕虫同样在Windows system目录下以随机档案名称创建自身的副本，并在注册表中添加一下键值：

HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\RunOnce

= %WinSystem%\WormName

或

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce

= %WinSystem%\WormName

其中"WormName" 是随机档案名称。

当蠕虫处于激活状态时，它将截获Windows 用于建立网路连线的函式，包括Internet连线。蠕虫截获传送和接收的数据并扫描其email地址，一旦地址被检查到，蠕虫将等待一段时间然后将一个染毒的讯息（扩展名为.EXE或 .SCR）传送给这些地址。

当Hybris被启动后，它将从站点伺服器上下载一个名为INDEX.TXT的文本档案，其中包含了蠕虫下载的其他有用的档案列表。

该病毒包含下列代码：

HYBRIS

(c) Vecna