感染報告件数が減少したため、2002年7月23日にこのワームの危険度を「４」から「３」に下げました。

W95.Hybris は送信メールに自分自身を添付して感染を広げるワームです。

送信されるメールの本文または件名には、次のテキストが含まれている可能性があります（これ以外の場合もあります）。

• hahaha@sexyfun.net
  
• Snow White and the Seven dwarves
  

下記はその添付ファイルの名前の例です（これ以外の場合もあります）。

• anpo porn(.scr
  
• atchim.exe
  
• branca de neve.scr
  
• dunga.scr
  
• dwarf4you.exe
  
• enano porno.exe
  
• joke.exe
  
• midgets.scr
  
• sexy virgin.scr
  

シマンテックでは、このワームの駆除を支援するオンラインチュートリアル(英語)をご用意しました。

別名: W32.Hybris.gen, W32.Hybris.22528.dr, W32/Hybris.gen@M [McAfee], I-Worm.Hybris [AVP], WORM_HYBRIS [Trend], W32/Hybris-A [Sophos], Win32.Hybris [CA], Full Moon

種別: ワーム

影響を受けるシステム: Windows 95, Windows 98, Windows Me

影響を受けないシステム: Windows 3.x, Microsoft IIS, Macintosh, Unix, Linux

対応日(Intelligent Updater)* 00/09/25(米国時間) 対応日(Live UpdateTM)** 2000/09/25(米国時間) * Intelligent Updaterを通じたウイルス定義は随時更新されていますが、そのダウンロードとインストールは手動で行う必要があります。 ** LiveUpdateを通じたウイルス定義は毎週水曜日(米国時間)に更新されています。 LiveUpdateの使い方については、こちらをクリックしてください。

被害状況 感染台数: 1000以上 報告件数: 10以上 地域感染度: 中 対処レベル: 中 駆除: 普通

危険性評価グラフ 被害状況: 高 ダメージ: 低 感染力: 高

感染力

• 添付ファイル: EXE または SCR 拡張子のついたランダムなファイル名
  

添付ファイルとして届いたW95.Hybris.genが実行されると、WSOCK32.DLL ファイルが変更もしくは置き換えられてしまいます。wsock32.dllに感染後、ワームはインターネット接続状況および電子メールの送受信を監視できるようになります。その後、ワームはメールアドレスをスキャンを始め、インターネット サイト上または送受信された電子メール内でメールアドレスを発見すると、一定期間待機したのち感染したメッセージを発見したアドレス宛に送信します。

このワームは alt.comp.virus というニュースグループに接続しようとします。接続に成功すると、ワームは自身のプラグインを暗号化された状態でそのニュースグループにアップロードします。ニュースグループメッセージのサブジェクトヘッダーを使って添付されている他のプラグインを探し、独自のフォーマットにしようとします。プラグインが存在する場合、サブジェクトヘッダーは添付されているプラグインのバージョン番号になっています。もし新しいバージョンのプラグインが見つかると、ワームはそれらをダウンロードし、自分自身をアップデートします。

W95.Hybris.gen によって使用されるプラグインの代表例は、螺旋形の画像を生成するタイプのものです。そのプラグインが実行されるとまず、大きな白黒の螺旋形の画像を描画するために使用するOpenGLライブラリをロードします。また、このプラグインは自分自身をサービスとしてシステムに登録することによって、[プログラムの終了]ダイアログボックスにそのプラグインが表示されないようにします。詳細は、W95.Hybris.Pluginのページをご覧ください。

また、このワームは、実行可能プログラムに感染するプラグインも持っています。DOS形式のEXEファイルへの感染はかなり単純な投下技術で、小さな16ビットのウィルス投下ルーチンを使って、ファイルの末尾にウィルス コードを追加します。このルーチンは、TEMPフォルダ内に.exe拡張子を持つ一時ファイルを作成して実行し、その後、実行形式の一時ファイルを削除します。このようにして、Wsock32.dllがワーム本体に感染します。PE形式の実行可能ファイルへのファイル感染プロセスはこれよりも複雑で、PEファイルが感染するのは、そのファイルが十分な長さのコード セクションを持っている場合に限られます。ウィルス感染プラグインは元のコード領域を圧縮し、プラグインが元のコード領域に収まる場合にはその領域を上書きします。このようにこのワームは複雑で発見の困難な感染技術を使っているため、修復は困難ですが不可能ではありません。

もし WSOCK32.DLL がシステムによって使用中の場合、ワームはそのファイルを変更することができません。このような場合、ワームはレジストリキーに次のいずれかのサブキーを追加します:
HKEY_LOCAL_MACHINE \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce
HKEY_CURRENT_USER \ Software \ Microsoft \ Windows \ CurrentVersion \ RunOnce

このワームは、あるマシンから他のマシンに感染を広げる際、常に上記の2つのキーを切り替えます。このワームはWSOCK32.DLL の次のエクスポートにフックします。

send()
recv()
connect()

ユーザがある人に 電子メール を送ろうとしたときは必ず、ランダムに生成したファイル名を使って自分自身のコピーを添付したもう１通のメールを同じ人に対して送信します。

Symantec Security Response では、すべてのユーザと管理者の皆様に対し、基本的なオンライン・セキュリティ対策として日常的に次のことを実行することを奨励しています。

• 不必要なサービスをすべて無効化するか、あるいは削除する。OS の多くは標準で、FTP クライアント、telnet、Web サーバーなどコンピュータの操作に必ずしも必要ではない付加的なサービスをインストールします。そのような付加的サービスは、攻撃の侵入経路として利用されることが多いため、無効化あるいは削除することによって、攻撃経路をその分少なくすることができ、パッチ適用時にも更新が必要なサービス数を減らすことができます。
  
• 1つ、あるいは複数のネットワークサービスが複合型脅威の攻撃を受けた場合には、パッチを適用するまでの一時的な回避策として、攻撃を受けているサービスをオフにするか、そのサービスへのアクセスを遮断する。
  
• 常に最新のパッチを適用しておく。特に、公開サービスをホストしていたり、HTTP、FTP、メール、DNS サービスなど、ファイアウォールを介してアクセス可能にしているコンピュータに対しては必ず最新パッチを適用しておくよう心がけてください。
  
• パスワード・ポリシーの徹底。複雑なパスワードを設定しておけば、セキュリティが低下したコンピュータ上に保存しているパスワードファイルの解読を困難にすることができます。また、攻撃を受けた場合でも被害を防止あるいは最小限に抑えることができます。
  
• メールサーバーを、ウイルスが感染拡大を試みる際によく使用するファイル拡張子(.vbs、.bat、.exe、.scr など)が付いた添付ファイルを含むメールをブロックあるいは削除するように設定しておく。
  
• ネットワーク接続しているコンピュータが感染した場合は、他のコンピュータへの感染拡大を防止するために、そのコンピュータをすみやかにネットワークから切り離し、その後、被害を受けたコンピュータに対し被害状況の分析を行ない、信頼できるメディアを使って復旧を図る。
  
• 従業員に対し、次のことを徹底させる。
  
  • 予期せぬメールが届いた場合には添付ファイルを絶対に開かない。
    
  • インターネットからダウンロードしたソフトウェアについては、必ずウイルススキャンを実行し、問題がないことが確認できるまでは絶対に起動しない。
    
  • 既知のセキュリティホールに対応するパッチが適用されていない Web ブラウザーを使用している場合は、安全でない Web サイトにアクセスするだけで感染する可能性があることを留意する。
    

W95.Hybris.genを駆除するには、次の手順を実行してください。

1. LiveUpdateを実行し、ウィルス定義を最新版に更新します。このワームの駆除には必ず2000年9月25日以降の定義ファイルを使う必要があります。
   
2. Norton AntiVirus (NAV)を開き、すべてのファイルがスキャン対象として設定されているか確認し、システム全体のスキャンを実行します。感染しているファイルが検出された場合には、次の何れかの操作を実行します。
   
   • Wsock32.dllの感染ファイルが検出された場合は、[修復]をクリックしてください。 通常、NAVによりそのファイルは修復されます。NAVがファイルを修復不可能なときは、WindowsインストールCDからクリーンなファイルをインストールしてファイルを置き換えてください。ファイルを置き換える手順については、次のセクションをご覧ください。
     
     備考：Windowsが通常モードのときにNAVがWsock32.dllを修復できない場合には、セーフモードで修復を実行してみてください。とくにユーザがネットワークに接続している場合にNAVで修復を行なおうとすると、しばしば「共有違反」というメッセージが表示されることがあります。その場合はコンピュータをセーフモードで再起動してみてください（この方法に関しては、Windows 9x または Windows Me をセーフモードで起動する方法をご覧ください)。それでも上手くいかないときは、次のセクションの指示にしたがって、新しいファイルを抽出する必要があります。
     
     
   • その他の検出されたファイルはすべて削除してください。これらのファイルの内容は既にワームで上書きされているため、バックアップコピーで置き換える必要があります。検出されたファイルがアプリケーション ソフトウェアの場合には、プログラムを再インストール必要があります。
     
     
3. 回転する螺旋画像が画面上に表示されている場合には、後述の手順に従ってそれを削除する必要があります。詳しくは、「回転螺旋を削除するには」のセクションをご覧ください。
   
   

新規のWsock32.dllファイルを抽出するには：
この作業が必要なのは、Wsock32.dllを修復できない場合のみです。この作業は、DOSプロンプトでExtractコマンドを使って行う必要があります。下記の指示にしたがい、ご使用のOSに適切な手順を実行してください。

以下の情報はお客様の便宜を図る目的で提供しているものです。ここでは、このワームの影響を受ける可能性が高いWindows 95/98/Me向けの手順を記述しています。これらの手順はWindowsの大半のバージョンでもご利用いただけますが、Windows 2000/XPをお使いの場合はこの作業を行う必要はまずありません。これはWindows 2000/XPのファイル保護機能が無効になっていない限り、ファイル保護機能によってWsock32.dllファイルの上書きが防止されるためです。

ファイルの一般的な抽出方法については、以下のドキュメントをご覧ください。具体的な手順は、ファイルの保存場所など、ご使用のOSの構成によって多少異なる可能性があります。詳しくは、Windowsに付属のマニュアル、ヘルプファイルをご覧になるか、あるいはマイクロソフト社にお問い合わせください。

• Microsoft Knowledge base article "How to Extract Original Compressed Windows Files, Article ID Q129605"(英語） −　Windows 95/98/Me上でのファイル抽出方法についての詳説です。
  
• How to extract files in Windows 98 and Windows Me(英語）
  
• How to extract files using Windows 2000 or Windows NT 4.0(英語）
  
• How to restore system files in Windows XP(英語）
  
  

注意：

• あらかじめ、Windows 98/Meの起動ディスクを用意しておいてください(Windows 95を使用している場合でも、Windows 98/Meシステム上で作成されたディスクが必要になります)。起動ディスクの作成方法については、How to create a Windows Startup disk（英語）をご覧ください。
  
• あらかじめ、WindowsインストールCDを用意しておいてください。
  
• コマンドを入力する際には、x と記述されている部分には、ご使用のCD-ROMドライブに割り当てられているドライブ名を入力してください。例えば、Windows 98を使用していて、CD-ROMドライブがDドライブに割り当てられている場合は、次のように入力する必要があります。
  
  extract /a d:\win98\precopy1.cab wsock32.dll /L c:\windows\system
  
  
• WindowsがC:\Windows以外のフォルダにインストールされている場合、\Windows\Systemフォルダを参照するコマンドの末尾にあるパスまたはフォルダ名を、該当するフォルダ名で置き換えてください。
  
• Extractコマンドの使用方法についての詳細は、Microsoftのドキュメント"How to Extract Original Compressed Windows Files, Article ID: Q129605"(英語）をご覧ください。
  
• Windows 98をご使用の場合は、下記の手順よりも簡単な方法として、システム ファイル チェッカーを使用することでファイルを復元することができます。詳しくは、Windowsのマニュアルをご覧ください。
  
  1. コンピュータを終了し、電源を切ります。コンピュータの電源を切ったら、フロッピーディスク ドライブにWindows 98/Me 起動ディスクを挿入し、コンピュータを起動します。表示されるメニューから、[Start with CD-ROM support（CD-ROMで起動）]を選択します。
     
  2. ご使用のOSに応じて、次のいずれかのコマンドを入力します。
     
     • Windows 98を使用している場合、次のコマンドを入力し、Enterキーを押します。
       
       extract /a x:\win98\precopy1.cab wsock32.dll /Lc:\windows\system
       
       
     • Windows 95を使用している場合、次のコマンドを入力し、Enterキーを押します。
       
       extract /a x:\win95\win95_02.cab wsock32.dll /Lc:\windows\system
       
       
  3. 何らかのエラーメッセージが表示されたら、手順 2を再度実行し、ご使用のOSに適切なコマンドを記述通りに入力したか確認してください。それでも上手くいかない場合は、exitと入力し、Enterキーを押してください。
     
     

回転螺旋を削除するには：

W95.Hybris.Genによって使用されるプラグインには数種類ありますが、最も一般的なものは、大きな回転螺旋を表示するプラグインです。デスクトップ上に巨大な回転螺旋が表示される場合、W95.Hybris.Pluginのページで解説されている手順に従って、そのプラグインを削除してください。