木马控制端

H-WORM：简单而活跃的远控木马

远程控制木马程序的活跃度一直是360超级眼实验室的重要关注点。最近我们的超级眼机械设备发现了下面一组似乎很好理解的接入连接。URL的方法很明显:完全免费动态域名未知服务器端口“/is-ready”。

[h/]http://adolf2013.sytes.net:1183/is-ready

[h/]http://herohero.no-ip.org:96/is-ready

[h/]http://micr0s0ftsoft.myftp.org:82/is-ready

[h/]http://dzhacker15.no-ip.org:100/is-ready

[h/]http://blackmind.redirectme.net:820/is-ready

[h/]http://aass.no-ip.biz:83/is-ready

[h/]http://sidisalim.myvnc.com:1888/is-ready

[h/]http://spy2010net.zapto.org:83/is-ready

[h/]http://smoker21.hopto.org:1920/is-ready

查询360威胁情报管理办公室。上面提到的域名与同一个IP地址相关:204.95.99.31。

通过对样本的分析，可以明确大部分样本属于H-WORM恶意软件家族，也有一些故意使用相同家族通信协议的RAT样本，如njRAT、XtremeRAT和njW0rm。

H蠕虫

H-WORM是一个ID为Houdini的人编写的蜘蛛，他使用VBS进行远程控制。可以按照u盘来分发，它的出现可以追溯到2013年7月。由于其简洁有效的遥控效果，非PE脚本制作容易免杀，容易修改等特点，一直受到灰色项目的青睐，并一直活跃至今。

2013年7月24日，H-WORM的原创者胡迪尼在某论坛社区发表了一篇H-WORM的帖子。

H-WORM样本有三个重要的传播价值:邮件的备件、故意连接、感染u盘的传播。蜘蛛状的传播系统会引起很多感触。下面是为原创者提供一键下载的H-WORM控制终端手机截图。有关下载地址，请参见本文末尾的参考链接:

样品分析

简洁有效的编号是H-WORM的一大特点。在此，我们先对其中一个H-WORM样本做一个简单的分析，看看H-WORM在感知到受害者电脑后做了什么，普通用户应该如何选择对策。

示例哈希:1eb712d4976bbf7c8CD0b34015c2701BC5040420e68911e6614b278cc82a42

样本名称:F:cwtslatwbl.vbs

简单破解样本数后，得到实数。破解的方法是把“8189982838”改成空case，然后把ASCII标识符和每个数值一起取。

然后，根据加载的注册表项hkcusoftwaremicorsoftcurrentVERSIONRUN和hklmsoftwaremicorsoftcurrentVERSIONRUN，启动并将其自身复制到temp文件名和启动文件目录中:

然后进入主循环后，H-WORM会不断循环解析xml系统控制板，识别是否存在可移动磁盘连接。如果有，它会将自身复制到可移动磁盘，并将文件名后缀设置为隐藏和安装包。此外，其他文件除外。lnk文件被隐藏，然后创建它们的快捷图标。快捷图标的基本参数设置为用cmd自行打开，然后打开原文文档迷惑客户。按照流动的化学物质进行传播，是一种极其广泛有效的方式。相关数字如下:

之后我开始连接云服务器，按照HTTP规定把客户信息发送到服务器。收集的客户信息包括计算机名称、用户名、计算机上计算机 *** 作系统的版本信息以及计算机杀毒软件的信息。刚开始接受网站服务器命令，主角是文件管理，进程管理，远程控制外壳，远程控制编号。值得一提的是，该示例使用用户代理来传输数据:

接受命令匹配的效果如下图所示。命令格式文件是命令

受害者的电脑感受到H-WORM后，黑客的攻击可以进一步警示其他恶意程序，使其被完全控制，或者成为拒绝服务攻击的一部分。

感情

根据360威胁情报管理办公室的数据，很有可能最近一个月大家都查看过H-WORM的电脑数量，有6000多台。从地域上看，伤害32个省区，其中陕西省和吉林省受害最多，分别占总数的10%和9%。其次是河南和天津，市场份额超过7%；其次是四川、广东、江苏、福建、山东、云南等，市场份额超过5%。这个时间和情况与人们普遍看到的与该省发展趋势水平相关的恶意软件数量并不相符，背后的原因可能非常非常值得探究。

国际奥委会

人人数据分析的H-WORM样本中涉及的C&目前C的具体地址有173个，其中126个域名可以用历史分析信息观察到。截止到最近的采样数据分析，共进行了近千万次分析。下表列出了其中的50个活跃域名，可以作为非常有效的IOC。作为威胁信息，所有已知域名早就对超级田燕机械设备进行了预警，机械设备部署的互联网技术可以快速发现被感染的系统。

域名 zzzch.zapto.org ysf.no-ip.biz ycemufkk6g.bounceme.net XXX-XXX.no-IP.info xkiller.no-IP.info wach.no-ip.org tariqalr.zapto.org shagagy21.no-IP.biz sexcam.3utilities.com servecounterstrike.servecounterstrike.com playgame.servecounterstrike.com p-dark.zapto.org nouna1985.no-IP.org n0it.no-ip.org mzab47.myq-see.com modox.no-ip.org mmoohhaammeedd.no-IP.biz mlcrosoft.serveFTP.com Microsoftupgrades.servehttp.com Microsoftsystem.sytes.net micr0s0ftsoft.myftp.org mda.no-ip.org maroco.redirectme.net maroco.myq-see.com maroco.linkPC.net man2010.no-IP.org korom.zapto.org koko.myftp.org klonkino.no-IP.org king.servemp3.com herohero.no-IP.org hacker20133.no-IP.org Googlechrome.servequake.com g00gle.sytes.net dzhacker15.no-IP.org dz47.servehttp.com dz47.myq-see.com dz47.linkpc.net dream7.no-IP.biz diiimaria.zapto.org desha10.no-IP.org dataday3.no-IP.org darkanony0501.no-IP.biz cupidon.zapto.org chrom.no-IP.info bog5151.zapto.org blackmind.redirectme.net Albertino.no-IP.info adolf2013.sytes.net Adamdam.zapto.org

引用连接

[h/]http://www.ic0de.org/archive/index.php/t-12134.html

[h/]http://rghost.net/47560191

https://www.fireeye.com/blog/threat-research/2013/08/njw0rm-brother-from-the-same-mother.html

欢迎分享，转载请注明来源：内存溢出

原文地址: https://outofmemory.cn/zz/771912.html