病毒背景

H-WORM作者ID为Houdini，使用VBS编写以实现远控蠕虫功能，能够通过感染U盘传播，出现的时间最早可以追溯到2013年7月。因为其简洁有效的远控功能、非PE脚本易于免杀、便于修改等特性，一直被恶意组织所青睐且活跃至今。该RAT情况信息可参阅FireEye之前发表的详细报告《Now You See Me - H-worm byHoudini》

H-worm 有效载荷只是一个 VBS 文件，通常被包装在一个 PE 可执行文件投放器中。在某些情况下，H-worm VBS 文件还包含多层混淆。在分析此类样本（81c153256efd9161f4d89fe5fd7015bc 和 4543daa6936dde54dda8782b89d5daf1）时，我们发现它们被自定义 Base64 编码、多级标准 Base64 编码（Safa Crypter）和字符替换所混淆。还有一个 Autoit 版本的 H-worm，其功能与 VBS 版本相同。其控制面板如图：