H-worm - это RAT на базе VBS (Visual Basic Script), написанный человеком под ником Houdini. Мы полагаем, что автор находится в Алжире и связан с njq8, автором njw0rm и njRAT/LV [2], посредством общей кодовой базы. Мы видели, как H-worm RAT используется в целевых атаках на международную энергетическую промышленность; однако мы также видим, что он используется в более широком контексте в качестве обычных атак через спам-вложения электронной почты и вредоносные ссылки.
Полезная нагрузка H-worm - это просто VBS-файл, который часто обернут в исполняемый PE-дроппер. В некоторых случаях VBS-файл H-червя также упакован несколькими уровнями обфускации. При анализе таких образцов (81c153256efd9161f4d89fe5fd7015bc и 4543daa6936dde54dda8782b89d5daf1) мы обнаружили, что они были обфусцированы с помощью пользовательской кодировки Base64, нескольких уровней стандартной кодировки Base64 (Safa Crypter) и замены символов. Используемые методы обфускации. Существует также Autoit-версия H-worm, называемая "underworld version", которая имеет ту же функциональность, что и VBS-версия.
Indicators of Compromise
Domains
- adolf2013.sytes.net
- ballgogo.no-ip.biz
- karimstar.zapto.org
- kiyoma200.no-ip.biz
- pess-12.zapto.org
- securityfocus.bounceme.net
- sidisalim.myvnc.com
- silent9.zapto.org
- xkiller.no-ip.info
Domain Port Combinations
- adamdam.zapto.org:1973
- adolf2013.sytes.net:1183
- adolf2013.sytes.net:1184
- ahmad212.no-ip.biz:86
- alii007.zapto.org:288
- alii007.zapto.org:6611
- am1.no-ip.info:1888
- ballgogo.no-ip.biz:8088
- basss.no-ip.info:2026
- basss.no-ip.info:82
- bg1337.zapto.org:1155
- bog5151.zapto.org:991
- dataday3.no-ip.org:83
- docteuur13.no-ip.org:444
- doda.redirectme.net:777
- dzhacker15.no-ip.org:82
- g00gle.sytes.net:4448
- gerssy.zapto.org:6000
- googlechrome.servegame.com:1990
- hackediraq.no-ip.biz:88
- hackeralbasrah.no-ip.biz:8888
- hattouma12.no-ip.biz:88
- hmode123.no-ip.biz:9090
- karimstar.zapto.org:85
- kiyoma200.no-ip.biz:1117
- koko.myftp.org:9090
- mda.no-ip.org:88
- medolife.no-ip.biz:1247
- microsoftsystem.sytes.net:4442
- mootje01.no-ip.org:81
- msgbox.zapto.org:5246
- new-hacker.no-ip.org:81
- njnj.redirectme.net:123
- no99.zapto.org:81
- noooot.no-ip.biz:443
- pess-12.zapto.org:81
- pess-123.zapto.org:1604
- portipv6.redirectme.net:1991
- ronaldo-123.no-ip.biz:2011
- ronaldo-123.no-ip.biz:2013
- sawdz.no-ip.biz:333
- securityfocus.bounceme.net:1166
- shagagy21.no-ip.biz:1605
- sidisalim.myvnc.com:1888
- silent9.zapto.org:7895
- terminator9.zapto.org:1991
- vpn-hacker.no-ip.biz:9090
- xbox720.zapto.org:1991
- xkiller.no-ip.info:1
- yahia17.no-ip.org:1177
- zeusback.no-ip.biz:223
- zoia.no-ip.org:446
MD5
- 00df326eee18617fae2fdd3684ac1546
- 12cc632f24497a2aa9bed63d36c2725d
- 1488cdc5c5c9c87b4e0dae27ba3511cb
- 3034ab284cf07b9215fb0ca715d3660f
- 43309710ab8f87dc5d9842a5bca85f80
- 4543daa6936dde54dda8782b89d5daf1
- 471d61e7a3d936fa28efef3273b2dbd6
- 617a128b44671ac88df0b7180d9d0135
- 6f3bad9a426a867f3ebf34bb68a75fe9
- 80b1f909d1217313c14ea6d4d0b003dc
- 81c153256efd9161f4d89fe5fd7015bc
- 82e6fc9a6b06fb51c134ba1755be23be
- 945471684a57e1e6b73c0f22beceb25c
- 9e273220eb71f849ea99b923cbc1fae3
- a40faab2f3f546aeb29aaefcb0f751d8
- a85c29d11016c633ef228fc58ebe2c14
- ae5c8ad09954a56f348a3b72ed824363
- c6b53fc46427527a0739e6b6443ef72d
- d833ba1b0ac9b512382433f47084bf52
- da3e2eeffd78d8c5ef472b8a09e9d325
- e96a6b06b0b46bd3cde7137c47137643
- eaba668520690207f07eb99fcd4c0cae
SHA256
- be871515ce8246118446de9d563803231c2f0dd9613f52a73a8a1b1a8f1eada6