病毒背景

H-WORM作者ID为Houdini，使用VBS编写以实现远控蠕虫功能，能够通过感染U盘传播，出现的时间最早可以追溯到2013年7月。因为其简洁有效的远控功能、非PE脚本易于免杀、便于修改等特性，一直被恶意组织所青睐且活跃至今。该RAT情况信息可参阅FireEye之前发表的详细报告《Now You See Me - H-worm byHoudini》

H-worm 有效载荷只是一个 VBS 文件，通常被包装在一个 PE 可执行文件投放器中。在某些情况下，H-worm VBS 文件还包含多层混淆。在分析此类样本（81c153256efd9161f4d89fe5fd7015bc 和 4543daa6936dde54dda8782b89d5daf1）时，我们发现它们被自定义 Base64 编码、多级标准 Base64 编码（Safa Crypter）和字符替换所混淆。还有一个 Autoit 版本的 H-worm，其功能与 VBS 版本相同。其控制面板如图：

H-WORM家族远控木马分析与处置相关推荐

移花接木大法：新型“白利用”华晨远控木马分析
360安全卫士 · 2015/05/28 5:11 0x00 前言 "白利用"是木马对抗主动防御类软件的一种常用手法.国内较早一批"白利用"木马是通过系统文件r ...
“大灰狼”远控木马分析及幕后真凶调查
9月初360安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站 ...
BT天堂网站挂马事件后续：“大灰狼”远控木马分析及幕后真凶调查
9月初安全团队披露bt天堂网站挂马事件,该网站被利用IE神洞CVE-2014-6332挂马,如果用户没有打补丁或开启安全软件防护,电脑会自动下载执行大灰狼远控木马程序. 鉴于bt天堂电影下载网站访问量 ...
一款远控木马分析，仅供学习思路用途
最近一段时间在面试病毒相关岗位,有的公司会电话.远程面试询问相关知识,有的则会直接发送病毒样本要求分析,写出分析报告.下面要分析的就是面试过程中的某个样本,整理成文,发表出来,供大家参考学习,一起进步 ...
一个想让你承认是Gay的“勒索版”远控木马Swamp分析
求大佬路过点个关注转个发今天逛窑子,看见老窑头发了张图片,大致如下: Oh SHIT! 你的文件都被加密了,糟透了? 那就是当你在阴暗的网站上观看色情时会发生的事情. 你的文件已经被我们用AES-2 ...
控制指令高达二十多种：远控木马Dendoroid.B分析报告( 转)
控制指令高达二十多种:远控木马Dendoroid.B分析报告 IT社区推荐资讯 - ITIndex.net Apr 24 近期,360团队截获了一款功能强大的专业间谍软件,它可以通过PC端远程控制中招 ...
“白加黑”远控木马技术分析及手杀方案
"白加黑"是民间对一种DLL劫持技术的通俗称呼,现在很多恶意程序利用这种劫持技术来绕过安全软件的主动防御以达到加载自身的目的,是目前很火的一种免杀手段.本文将针对此类病毒做了一个简 ...
安全研究人员发现：Nanocore等多个远控木马滥用公有云服务传播
前言攻击者越来越多的采用云来构建自己的基础设施,这样不仅能够使攻击者以最少的时间或金钱部署攻击基础设施,也能让追踪攻击行动变得更困难. 从 2021 年 10 月 26 日开始,研究人员发现多个远控 ...
[网络安全自学篇] 九十.远控木马详解及APT攻击中的远控和防御
这是作者网络安全自学教程系列,主要是关于安全工具和实践操作的在线笔记,特分享出来与博友们学习,希望您喜欢,一起进步.前文分享了软件来源分析,结合APT攻击中常见的判断方法,利用Python调用扩展包进 ...

H-WORM家族远控木马分析与处置

病毒背景

H-WORM家族远控木马分析与处置相关推荐

最新文章

热门文章