H-WORM作者ID为Houdini,使用VBS编写以实现远控蠕虫功能,能够通过感染U盘传播,出现的时间最早可以追溯到2013年7月。因为其简洁有效的远控功能、非PE脚本易于免杀、便于修改等特性,一直被恶意组织所青睐且活跃至今。该RAT情况信息可参阅FireEye之前发表的详细报告《Now You See Me - H-worm byHoudini》
H-worm 有效载荷只是一个 VBS 文件,通常被包装在一个 PE 可执行文件投放器中。在某些情况下,H-worm VBS 文件还包含多层混淆。在分析此类样本(81c153256efd9161f4d89fe5fd7015bc 和 4543daa6936dde54dda8782b89d5daf1)时,我们发现它们被自定义 Base64 编码、多级标准 Base64 编码(Safa Crypter)和字符替换所混淆。还有一个 Autoit 版本的 H-worm,其功能与 VBS 版本相同。其控制面板如图: