警惕H-worm蠕虫病毒伪装电影样片钓鱼，草率点击附件会中远控木马

一、背景

腾讯安全御见威胁情报中心发现附带H-worm蠕虫病毒变种的钓鱼邮件攻击。攻击者参考VBS蠕虫病毒H-worm代码制作JS版本变种，并将其打包为压缩文件，之后伪装成某电影特效制作公司向攻击目标邮箱投递包含病毒附件的邮件。目标用户不慎打开附件中的压缩文件，H-worm蠕虫变种会立即执行，病毒会连接远程服务器接收指令对中毒电脑进行远程控制。

H-worm蠕虫病毒还会通过在U盘、移动硬盘等可移动存储设备上创建大量指向病毒的Lnk文件，从而通过移动存储设备在目标网络中横向传播扩散。

钓鱼邮件传播H-worm蠕虫变种流程

腾讯御点及腾讯电脑管家均可查杀该病毒，腾讯安全专家建议用户谨慎处理不明邮件的附件。PHP大马

二、详细分析

攻击者伪造了来自日本某公司的发件邮件信息。

邮件中提示参阅附件VPO0918001.zip，并提到付款相关信息。同时还说明了需要提供电影样本、制造以及定制设计等内容。

当我们尝试打开邮件伪造的发件邮箱地址时，发现该地址的确是一家从事电影及音乐短片制作的日本公司。这表明出黑客在攻击前，特意搜集了发邮件时需要用到的伪造公司的信息，进而在攻击过程中构造与该公司相关的邮件内容，以此来迷惑被攻击对象，诱惑其打开邮件附件。奇热影视

邮件附件文件VPO0918001.zip，该文件解压后释放VPO0918001.js，后续分析可知VPO0918001.js是完全由JS脚本实现的远控木马。

VPO0918001.js经过混淆和base64编码，执行前需要解混淆。首先通过正则匹配将代码中的“%@>”替换为“A”，然后将替换后的代码通过base64解码，得到最终要执行的代码。

解密后的代码分成两个部分，一部分为释放子木马lkdsUaKrEM.js到%appdata%目录下并启动执行，另一部分为JS远控代码主体。释放的子木马lkdsUaKrEM.js与母体木马代码逻辑比较相似。

VPO0918001.js

远控代码开头，初始化信息，包括上线地址、端口等。

查询安图高级威胁溯源系统可以看到服务器bedahogs.100chickens.me对应的IP为178.239.21.37，地址位于波黑。

然后执行instance函数进行持久化，首先根据注册表HKEY_LOCAL_MACHINE\\software\\中是否存在与脚本名相同的项目，来判断是否已经感染，并将该值记录到usbspreading，表示感染U盘。若不存在对应的注册表项则重新写入。

然后在instance中调用upstart将JS脚本木马写入注册表Run启动项(HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\run\\)，并将木马文件复制到安装目录(%appdata%或%temp%)，

以及全局启动项目录startup(C:\Users\[guid]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup)。

完成持久化之后，进入木马主体，在一个大while循环中不断执行安装操作和询问服务器（发送参数“is-ready”），并根据服务器返回的不同指令执行各类动作。

在安装函数install中对系统中的移动磁盘进行感染，包括U盘或移动硬盘等移动存储设备都会被植入木马。感染时首先枚举drivers，找出类型为“1”的磁盘（可移动盘），然后将木马文件复制到该盘根目录下，然后枚举该盘中的所有文件及文件夹，使用每个文件或文件夹的名字生成快捷方式，并将快捷方式启动对象设置为木马文件。

感染效果如下：

打开每个lnk内容为：

C:\windows\system32\cmd.exe /c start VPO0918001.js
&start explorer *****&exit

感染完成后向服务器发送“is-ready”命令，等待服务器返回指令。

木马接收服务器共23个远控指令对肉鸡进行完全控制，功能包括断开连接、重启、关机、搜集密码、上传日志、下载执行程序、启动各类插件、执行cmd命令、枚举进程、启动键盘记录程序等，指令及对应功能整理如下：

搜集系统信息

搜集反病毒产品信息

搜集浏览器、邮箱中使用的登录密码

开启键盘记录

下载执行程序

执行shell命令(cmd)

枚举进程

lkdsUaKrEM.js

邮件附件压缩包中投递的木马VPO0918001.js除了执行自身的恶意功能外，还会释放子木马lkdsUaKrEM.js，子木马被释放到%appdata%目录，大小只有36K，执行后拷贝自身到全局启动目录，具有与母体相似的功能例如持久化、远控、感染移动设备。

采用与母体同样的混淆方式，执行时会进行还原。

与母体相同的远控功能不再进行分析，不同的地方是，子木马中包含作者的skype信息:“live:unknown.sales64”，但是不能确定传播该木马和制作该木马的黑客为同一个人。另外子木马中的控制端上线地址与母体不同，为brothersjoy.nl，端口为6789。

而通过对比发现，该木马的代码与其他厂商早期发现的h-worm蠕虫病毒有较大相似之处，推测此次攻击中黑客参考h-worm病毒制作了木马，并且将病毒实现语言由VBS脚本修改为JS脚本。

三、安全建议

1、不要打开不明来源的邮件附件，对于邮件附件中的文件要谨慎运行，如发现有脚本或其他可执行文件可先使用杀毒软件进行扫描；

2、推荐部署腾讯御点终端安全管理系统防御病毒木马攻击；

3、使用腾讯御界高级威胁检测系统检测未知黑客的各种可疑攻击行为。御界高级威胁检测系统，是基于腾讯反病毒实验室的安全能力、依托腾讯在云和端的海量数据，研发出的独特威胁情报和恶意检测模型系统;

4、对于已中招用户，除了使用杀软清理“H-worm”病毒外，还可手动做以下操作：

删除文件：

%appdata%\ VPO0918001.js

%temp%\VPO0918001.js

%appdata%\ lkdsUaKrEM.js

%temp%\ lkdsUaKrEM.js

C:\Users\[guid]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\VPO0918001.js

C:\Users\[guid]\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\lkdsUaKrEM.js

删除注册表项：

HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\run\\VPO0918001.js

HKEY_LOCAL_MACHINE\\software\\microsoft\\windows\\currentversion\\run\\lkdsUaKrEM.js

IOCs

Domain

brothersjoy.nl

bedahogs.100chickens.me

C&C

brothersjoy.nl:6789

bedahogs.100chickens.me:4441

md5

2908aea37739687ddf8c2e8153acd492

c66d257c78ecece9da26183be4935b58

f03019a53ce55fe08d02fc0c0f105f56

参考资料：

https://securingtomorrow.mcafee.com/other-blogs/mcafee-labs/java-vbs-joint-exercise-delivers-rat/

https://www.fireeye.com/blog/threat-research/2013/09/now-you-see-me-h-worm-by-h-worm.html

警惕H-worm蠕虫病毒伪装电影样片钓鱼，草率点击附件会中远控木马相关推荐

黑产上演《三体》剧情：蠕虫病毒入侵手机群发“钓鱼”短信
"我是这个世界的一个和平主义者,我首先收到信息是你们文明的幸运,警告你们:不要回答!不要回答!不要回答!!!" --<三体> <三体>是国内科幻小说界里程碑 ...
警惕：新型蠕虫病毒通过可移动驱动器传播，并安装BLADABINDI后门
BLADABINDI,也被称为njRAT或Njw0rm,是一种远程访问木马(RAT),具有众多后门功能--从键盘记录到执行分布式拒绝服务(DDoS).自首次出现以来,该木马就已经在各种网络间谍活动中被 ...
突发！incaseformat蠕虫病毒来袭，警惕文件遭删除
今日,邦润科技安全团队监测到一种名为incaseformat的蠕虫病毒在国内爆发,该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病毒母体从Window ...
服务器system文件缺失,incaseformat蠕虫病毒爆发，警惕文件丢失！
又一波电脑病毒来袭! 一种名为incaseformat的蠕虫病毒在国内爆发, 该蠕虫病毒主要通过U盘感染传播,运行后会检测自身执行路径,复制到系统盘Windows目录下,并将其他磁盘的文件进行遍历删除 ...
突发，千万别重启！incaseformat蠕虫病毒来袭，警惕文件遭全盘删除（附：免费查杀工具）
2021年1月13日,国内某著名安全团队监测到一种名为incaseformat的蠕虫病毒在国内爆发, 该蠕虫病毒执行后会自复制到系统盘Windows目录下,并创建注册表自启动,一旦用户重启主机,使得病 ...
快速有效地封杀—巧利用Iris来查找蠕虫病毒(转)
快速有效地封杀-巧利用Iris来查找蠕虫病毒(转) 近些年,蠕虫病毒的每一次大规模爆发,都给网络世界带来了深重的灾害.蠕虫病毒有着很强的破坏性,一个局域网中只要有一台电脑感染了蠕虫病毒,就有可能引起网 ...
攻防技术基础笔记一——病毒、蠕虫病毒、木马、软件漏洞、常见问题、漏洞成因、黑产产业链、遵纪守法、渗透测试、渗透测试方法、VMware的使用、认识kali
攻防技术基础笔记一.病毒二.蠕虫(worm)病毒三.简单辨析蠕虫病毒跟普通病毒四.木马五.木马与病毒的区别六.软件漏洞七.两个生活中的安全问题八.漏洞产生的原因九.漏洞黑产产业链十 ...
“艾妮”（ANI）蠕虫病毒
病毒名:艾妮(别名,麦英.ANI蠕虫) 英文名:MyInfect.af/DlOnlineGames/Trojan-Downloader.Win32.Agent.bky 技术分析: 1.释放病毒文件到如 ...
安全：incaseformat蠕虫病毒来袭，你中招了吗？
2021年1月13日incaseformat蠕虫病毒的消息刷爆了微信朋友圈,该病毒不具备对加密文件危害,同时该病毒也并非新型的病毒,而是2014年已经出现了,病毒主要传播方式为U盘等移动存储器设备,不 ...

警惕H-worm蠕虫病毒伪装电影样片钓鱼，草率点击附件会中远控木马

警惕H-worm蠕虫病毒伪装电影样片钓鱼，草率点击附件会中远控木马相关推荐

最新文章

热门文章