H-Worm RAT Virus
Geschreven door Tomas Meskauskas op
Wat is H-WORM?
H-WORM is een hulpmiddel voor toegang op afstand (RAT) dat is ontwikkeld met behulp van VBScript. Onderzoek toont aan dat deze trojan is ontwikkeld door een crimineel met de naam 'Houdini'. H-WORM wordt voornamelijk verspreid via spam e-mailcampagnes en heeft een USB-distributiefunctie geïmplementeerd, maar op het moment van onderzoek werkte deze functie niet correct.
H-WORM malware overzicht
Zoals hierboven vermeld, is H-WORM een hulpmiddel voor toegang op afstand en dus kunnen cybercriminelen het geïnfecteerde systeem manipuleren en op afstand verschillende taken uitvoeren. Zoals de meeste RAT's kan H-WORM gegevens downloaden en uploaden van/naar een Command and Control (C&C) server op afstand, bestanden uitvoeren, shell/cmd-commando's uitvoeren en verschillende andere acties uitvoeren (volledige lijst hieronder).
H-WORM is geïmplementeerd met een wachtwoord-grabbing functie, maar net als bij de USB-distributie functie werkte deze niet op het moment van onderzoek. Het is echter waarschijnlijk dat de bugs verholpen zullen worden en H-WORM dan in staat zal zijn om opgeslagen logins/wachtwoorden te stelen en zichzelf te injecteren in aangesloten USB-drives.
Hulpmiddelen voor toegang op afstand worden vaak gebruikt om verschillende bestanden te stelen en extra malware in het systeem te injecteren. RAT's verspreiden meestal trojans, ransomware, cryptominers en, in sommige gevallen, adware/browser hijackers. De meeste trojans stelen persoonlijke gegevens (bijv. bankgegevens, toetsaanslagen, aanmeldingen/wachtwoorden, enz.)
De meeste ransomware brengt opgeslagen gegevens in gevaar (meestal door versleuteling) en eist losgeld in ruil voor herstel van bestanden. Cryptominers misbruiken systeembronnen om verschillende cryptocurrencies te delven. Het mijnproces kan tot 100% van de systeembronnen in beslag nemen - het systeem wordt instabiel/bijna onbruikbaar en hardwarecomponenten kunnen permanent beschadigd raken door oververhitting.
Adware en browser hijackers zijn minder schadelijk - ze leveren meestal opdringerige advertenties, veroorzaken ongewenste omleidingen en verzamelen gegevens (bezochte websites, bekeken pagina's, IP-adressen, etc.). Samengevat kan de aanwezigheid van H-WORM leiden tot permanent gegevensverlies, aanzienlijke financiële/privacyproblemen en computerinfecties met een hoog risico.
Naam | H-Worm remote access tool |
Type bedreiging | Trojan, Password-stealing virus, Banking malware, Spyware. |
Detectienamen | Avast (VBS:Downloader-MI [Trj]), Combo Cleaner (GT:VB.Backdoor.1.99FE6813), ESET-NOD32 (VBS/Agent.NKR), Kaspersky (Trojan.Script.Suspic.gen), Microsoft (Worm:VBS/Jenxcus.CB), volledige lijst van detecties (VirusTotal) |
Symptomen | Trojans zijn ontworpen om heimelijk te infiltreren in de computer van het slachtoffer en zich stil te houden, waardoor er geen specifieke symptomen duidelijk zichtbaar zijn op een geïnfecteerde machine. |
Verspreidingsmethodes | Geïnfecteerde e-mailbijlagen, schadelijke online advertenties, social engineering, softwarekrakers. |
Schade | Gestolen bankgegevens, wachtwoorden, identiteitsdiefstal, de computer van het slachtoffer toegevoegd aan een botnet. |
Malware verwijderen (Windows) | Om mogelijke malware-infecties te verwijderen, scant u uw computer met legitieme antivirussoftware. Onze beveiligingsonderzoekers raden aan Combo Cleaner te gebruiken. |
RAT-type malware voorbeelden
Er zijn veel externe toegangstools die vrijwel identiek zijn aan H-WORM. De lijst met voorbeelden omvat (maar is niet beperkt tot) CrimsonRAT, Megalodon, Brushaloader en Remcos RAT. Verschillende cybercriminelen zijn verantwoordelijk voor deze infecties, maar ze vormen allemaal een identieke bedreiging. Daarom moet je infecties zoals H-WORM onmiddellijk verwijderen.
Hoe is H-WORM in mijn computer geïnfiltreerd?
Zoals hierboven vermeld, wordt H-WORM meestal verspreid via spamcampagnes. Eén zo'n campagne heeft betrekking op het recente Boeing 737 Max 8 vliegtuig, dat neerstortte zonder overlevenden achter te laten. In de e-mail staat dat een medewerker van het bedrijf belangrijke informatie over het ongeluk heeft gelekt.
Het bericht suggereert ook dat de informatie moet worden afgeleverd aan de "dierbaren" van alle slachtoffers. De e-mail bevat een bijlage (op het moment van onderzoek een JAR-bestandsarchief), maar het openen ervan resulteert in de infiltratie van H-WORM RAT. Bovendien werd op hetzelfde moment een identieke campagne gebruikt om de Adwind informatie stelende trojan te verspreiden.
Als u daarom bijlagen hebt geopend die met deze campagne zijn verspreid, is uw computer waarschijnlijk ook geïnfecteerd met Adwind. Zoals hierboven vermeld, is H-WORM ook geïmplementeerd met de USB-distributiefunctie. Hoewel deze functie momenteel niet werkt, kan de situatie veranderen en zal de RAT ook computers infiltreren via geïnfecteerde USB apparaten.
Hoe vermijdt u de installatie van malware?
Om computerinfecties te voorkomen, moet u zeer voorzichtig zijn wanneer u op internet surft en software downloadt, installeert of bijwerkt. Analyseer elke ontvangen e-mailbijlage zorgvuldig. Bestanden/links die irrelevant zijn en die zijn verstuurd door verdachte e-mailadressen mogen nooit worden geopend. Download apps alleen van officiële bronnen en gebruik directe downloadlinks.
Vermijd het gebruik van downloaders/installateurs van derden, omdat deze vaak malafide apps bevatten. Houd geïnstalleerde software en besturingssystemen up-to-date. Gebruik hiervoor echter alleen geïmplementeerde functies of tools van officiële ontwikkelaars. Zorg ervoor dat een gerenommeerd anti-virus/anti-spyware pakket geïnstalleerd en actief is, aangezien deze tools malware detecteren en verwijderen voordat het systeem wordt beschadigd.
De belangrijkste redenen voor computerinfecties zijn een gebrekkige kennis van deze bedreigingen en onvoorzichtig gedrag - de sleutel tot veiligheid is voorzichtigheid. Als u denkt dat uw computer al geïnfecteerd is, raden we u aan een scan uit te voeren met Combo Cleaner om geïnfiltreerde malware automatisch te verwijderen.
Volledige lijst van H-Worm RAT functies:
- cmd-shell - Voert parameterwaarde uit met "cmd.exe /c" en retourneert resultaat
- delete - Verwijdert bestand of map gespecificeerd in parameter
- enum-driver - Stuurt alle schijfinformatie naar de C&C
- enum-faf - Stuurt alle bestands- en mapkenmerken in een opgegeven map
- enum-process - Stuurt alle lopende processen door
- execute - Voert de parameterwaarde uit met "execute".
- exit-proces - Beëindigt proces gespecificeerd in parameter
- recv - Uploadt bestand naar C&C server
- send - Downloadt bestand van C&C server
- site-send - Downloadt bestand van URL
- sleep - Sleep-aanroep in parameter wordt doorgegeven aan eval()
- uninstall - Verwijdert opstartregels en payload
- update - Vervangt de payload en herstart met de wscript engine
Boeing 737 Max 8 ongeluk-gerelateerde spam e-mailcampagne die H-Worm RAT promoot:
Tekst in deze e-mail:
Greetings
I believe you have heard about the latest crash Boeing 737 MAX 8 which happen on sunday 10 march 2019, All passengers and crew were killed in the accident
Ethiopian Airlines Flight ET302 from Addis Ababa, Ethiopia, to Nairobi, Kenya, crashed shortly after takeoff
The dead were of 35 different nationalities, including eight Americans.
On 29 October 2018, the Boeing 737 MAX 8 operating the route crashed into the Java Sea 12 minutes after takeoff.
All 189 passengers and crew were killed in the accident.
note: there was a leak information from Darkweb which listed all the airline companies that will go down soon.
kindly notify your love ones about the informations on these file.
RegardsJoshua Berlinger
private inteligent analyst
Onmiddellijke automatische malwareverwijdering:
Handmatig de dreiging verwijderen, kan een langdurig en ingewikkeld proces zijn dat geavanceerde computer vaardigheden vereist. Combo Cleaner is een professionele automatische malware verwijderaar die wordt aanbevolen om malware te verwijderen. Download het door op de onderstaande knop te klikken:
▼ DOWNLOAD Combo Cleaner
De gratis scanner controleert of uw computer geïnfecteerd is. Om het volledige product te kunnen gebruiken moet u een licentie van Combo Cleaner kopen. Beperkte proefperiode van 7 dagen beschikbaar. Combo Cleaner is eigendom van en wordt beheerd door Rcs Lt, het moederbedrijf van PCRisk. Lees meer. Door het downloaden van software op deze website verklaar je je akkoord met ons privacybeleid en onze algemene voorwaarden.
Snelmenu:
- Wat is H-Worm?
- STAP 1. Handmatige verwijdering van H-Worm malware.
- STAP 2. Controleer of uw computer schoon is.
Hoe verwijdert u malware handmatig?
Handmatig malware verwijderen is een ingewikkelde taak - meestal is het het beste om antivirus- of antimalwareprogramma's dit automatisch te laten doen. Om deze malware te verwijderen raden we u aan Combo Cleaner te gebruiken.
Als u malware handmatig wilt verwijderen, is de eerste stap het identificeren van de naam van de malware die u probeert te verwijderen. Hier is een voorbeeld van een verdacht programma dat op de computer van een gebruiker wordt uitgevoerd:
Als u de lijst met programma's die op uw computer worden uitgevoerd hebt gecontroleerd, bijvoorbeeld met taakbeheer, en een programma hebt geïdentificeerd dat er verdacht uitziet, moet u doorgaan met deze stappen:
Download een programma genaamd Autoruns. Dit programma toont automatisch opstartende toepassingen, register- en bestandssysteemlocaties:
Herstart uw computer in de veilige modus:
Windows XP en Windows 7 gebruikers: Start uw computer op in Veilige modus. Klik op Start, klik op Afsluiten, klik op Opnieuw opstarten en klik op OK. Druk tijdens het opstarten van uw computer meerdere keren op de F8-toets op uw toetsenbord totdat u het menu Geavanceerde opties van Windows ziet en selecteer vervolgens Veilige modus met netwerkmogelijkheden in de lijst.
Video die laat zien hoe u Windows 7 opstart in "Veilige modus met netwerkmogelijkheden":
Windows 8 gebruikers: Windows 8 opstarten in Veilige modus met netwerkmogelijkheden - Ga naar het Windows 8 Startscherm, typ Geavanceerd, selecteer in de zoekresultaten Instellingen. Klik op Geavanceerde opstartopties, selecteer in het geopende venster "Algemene pc-instellingen" Geavanceerd opstarten.
Klik op de knop "Nu opnieuw opstarten". Uw computer start nu opnieuw op in het menu "Geavanceerde opstartopties". Klik op de knop "Problemen oplossen" en klik vervolgens op de knop "Geavanceerde opties". Klik in het scherm met geavanceerde opties op "Opstartinstellingen".
Klik op de knop "Opnieuw opstarten". Uw pc zal opnieuw opstarten in het scherm met de opstartinstellingen. Druk op F5 om op te starten in Veilige modus met netwerkmogelijkheden.
Video die laat zien hoe u Windows 8 opstart in "Veilige modus met netwerkmogelijkheden":
Windows 10 gebruikers: Klik op het Windows-logo en selecteer het aan/uit-pictogram. Klik in het geopende menu op "Opnieuw opstarten" terwijl u de toets "Shift" op uw toetsenbord ingedrukt houdt. Klik in het venster "Een optie kiezen" op "Problemen oplossen" en selecteer vervolgens "Geavanceerde opties".
Selecteer in het menu "Geavanceerde opties" "Opstartinstellingen" en klik op de knop "Opnieuw opstarten". In het volgende venster moet u klikken op de knop "F5" op uw toetsenbord. Hierdoor wordt uw besturingssysteem opnieuw opgestart in de Veilige modus met netwerkmogelijkheden.
Video die laat zien hoe u Windows 10 opstart in "Veilige modus met netwerkmogelijkheden":
Pak het gedownloade archief uit en voer het Autoruns.exe bestand uit.
Klik in de Autoruns-toepassing op "Opties" bovenaan en schakel de opties "Lege locaties verbergen" en "Windows invoer verbergen" uit. Klik na deze procedure op het pictogram "Vernieuwen".
Bekijk de lijst die wordt geleverd door de Autoruns-toepassing en zoek het malwarebestand dat u wilt verwijderen.
U moet het volledige pad en de naam opschrijven. Merk op dat sommige malware procesnamen verbergt onder legitieme Windows procesnamen. In dit stadium is het erg belangrijk om te voorkomen dat systeembestanden worden verwijderd. Nadat u het verdachte programma hebt gevonden dat u wilt verwijderen, klikt u met de rechtermuisknop op de naam en kiest u "Verwijderen".
Nadat u de malware hebt verwijderd via de toepassing Autoruns (dit zorgt ervoor dat de malware niet automatisch wordt uitgevoerd bij de volgende keer opstarten van het systeem), moet u zoeken naar de naam van de malware op uw computer. Zorg ervoor dat u verborgen bestanden en mappen inschakelt voordat u verder gaat. Als u de bestandsnaam van de malware vindt, moet u deze verwijderen.
Start uw computer opnieuw op in de normale modus. Als u deze stappen volgt, wordt alle malware van uw computer verwijderd. Houd er rekening mee dat voor het handmatig verwijderen van bedreigingen geavanceerde computervaardigheden vereist zijn. Als u deze vaardigheden niet hebt, laat het verwijderen van malware dan over aan antivirus- en antimalwareprogramma's.
Deze stappen werken mogelijk niet bij geavanceerde malware-infecties. Zoals altijd is het beter om een infectie te voorkomen dan om malware later te verwijderen. Om uw computer veilig te houden, installeert u de nieuwste besturingssysteemupdates en gebruikt u antivirussoftware. Om er zeker van te zijn dat uw computer vrij is van malware-infecties raden we u aan deze te scannen met Combo Cleaner.
Veelgestelde vragen (FAQ)
Mijn computer is geïnfecteerd met H-WORM malware, moet ik mijn opslagapparaat formatteren om er vanaf te komen?
Voor het verwijderen van malware is formatteren zelden nodig.
Wat zijn de grootste problemen die H-WORM malware kan veroorzaken?
De bedreigingen van malware zijn afhankelijk van de mogelijkheden van de malware en de inmenging van cybercriminelen. H-WORM is een zeer veelzijdige trojan voor toegang op afstand. Het heeft verschillende functionaliteiten en kan meerdere systeeminfecties veroorzaken. De gevaren die aan dit programma verbonden zijn, zijn dan ook bijzonder groot: verminderde systeemprestaties of systeemuitval, gegevensverlies, ernstige privacyproblemen, financieel verlies en identiteitsdiefstal.
Wat is het doel van H-WORM malware?
De meeste schadelijke programma's worden gebruikt om inkomsten te genereren. Maar malware-infecties kunnen ook worden gemotiveerd door cybercriminelen voor hun amusement of persoonlijke wrok, verstoring van processen (bijv. websites, diensten, bedrijven, enz.) en politieke/geopolitieke redenen.
Hoe is H-WORM malware in mijn computer geïnfiltreerd?
Malware wordt voornamelijk verspreid via drive-by downloads, online scams, spammail, malvertising, onbetrouwbare downloadbronnen (bijv. freeware en websites van derden, Peer-to-Peer netwerken voor het delen van bestanden, enz. Bovendien kunnen sommige schadelijke programma's zichzelf verspreiden via lokale netwerken en verwisselbare opslagapparaten.
Beschermt Combo Cleaner mij tegen malware?
Ja, Combo Cleaner kan de meeste bekende malware-infecties detecteren en verwijderen. Aangezien geavanceerde kwaadaardige software zich meestal diep in systemen verstopt, is het uitvoeren van een volledige systeemscan cruciaal.
▼ Toon discussie