Virus RAT H-Worm
Écrit par Tomas Meskauskas le (mis à jour)
Qu'est-ce que H-WORM ?
H-WORM est un outil d'accès à distance (RAT) développé à l'aide de VBScript. Les recherches montrent que ce cheval de Troie a été développé par un criminel répondant au nom de "Houdini". H-WORM est principalement distribué par le biais de campagnes de courriels de spam et dispose d'une fonction de distribution USB, mais au moment de notre recherche, cette fonction ne fonctionnait pas correctement.
Aperçu du maliciel H-WORM
Comme indiqué plus haut, H-WORM est un outil d'accès à distance, ce qui permet aux cybercriminels de manipuler le système infecté et d'effectuer diverses tâches à distance. Comme la plupart des RAT, H-WORM est capable de télécharger et d'envoyer des données depuis/vers un serveur de commande et de contrôle (C&C) distant, d'exécuter des fichiers, de lancer des commandes shell/cmd et de réaliser diverses autres actions (liste complète ici).
H-WORM est doté d'une fonction de capture de mot de passe, mais, comme pour la fonction de distribution USB, celle-ci ne fonctionnait pas au moment de la recherche. Il est toutefois probable que les bogues seront corrigés et que H-WORM sera alors en mesure de voler les identifiants/mots de passe enregistrés et de s'injecter dans les clés USB connectées.
Les outils d'accès à distance sont souvent utilisés pour voler divers fichiers et injecter des maliciels supplémentaires dans le système. Les RAT font généralement proliférer des chevaux de Troie, des rançongiciels, des cryptomineurs, et, dans certains cas, des publiciels/des pirates de navigateur. La plupart des chevaux de Troie volent des données personnelles (par exemple, des informations bancaires, des frappes au clavier, des identifiants/mots de passe, etc.).
La plupart des rançongiciels compromettent les données stockées (généralement par cryptage) et exigent le paiement d'une rançon en échange de la récupération des fichiers. Les cryptomineurs utilisent abusivement les ressources du système pour extraire diverses crypto-monnaies. Le processus de minage peut accaparer jusqu'à 100 % des ressources - le système devient instable/virtuellement inutilisable et les composants matériels peuvent être endommagés de manière permanente en raison de la surchauffe.
Les publiciels et les pirates de navigateur sont moins nocifs - ils diffusent généralement des publicités intrusives, provoquent des redirections indésirables et collectent des données (sites web visités, pages consultées, adresses IP, etc.) En résumé, la présence de H-WORM peut entraîner une perte permanente de données, des problèmes financiers ou de confidentialité importants et des infections informatiques à haut risque.
Nom | Outils d'accès à distance H-Worm |
Type de Menace | Cheval de Troie, Virus voleur de mots de passe, maliciel bancaire, logiciel espion. |
Noms de Détection | Avast (VBS:Downloader-MI [Trj]), Combo Cleaner (GT:VB.Backdoor.1.99FE6813), ESET-NOD32 (VBS/Agent.NKR), Kaspersky (Trojan.Script.Suspic.gen), Microsoft (Worm:VBS/Jenxcus.CB), Liste complète des détections (VirusTotal) |
Symptômes | Les chevaux de Troie sont conçus pour s'infiltrer furtivement dans l'ordinateur de la victime et rester silencieux, de sorte qu'aucun symptôme particulier n'est clairement visible sur une machine infectée. |
Méthodes de Distribution | Pièces jointes de courriels infectés, publicités en ligne malveillantes, ingénierie sociale, cracks de logiciels. |
Dommages | Vol d'informations bancaires, de mots de passe, usurpation d'identité, ajout de l'ordinateur de la victime à un réseau botnet. |
Suppression des maliciels (Windows) |
Pour éliminer d'éventuelles infections par des maliciels, analysez votre ordinateur avec un logiciel antivirus légitime. Nos chercheurs en sécurité recommandent d'utiliser Combo Cleaner. |
Exemples de maliciels de type RAT
Il existe de nombreux outils d'accès à distance qui sont pratiquement identiques à H-WORM. La liste des exemples comprend (sans s'y limiter) CrimsonRAT, Megalodon, Brushaloader, et Remcos RAT. Différents cybercriminels sont responsables de ces infections, mais tous représentent des menaces identiques. C'est pourquoi vous devez éliminer immédiatement les infections telles que H-WORM.
Comment H-WORM s'est-il infiltré dans mon ordinateur ?
Comme mentionné ci-dessus, H-WORM est principalement distribué par le biais de campagnes de spam. L'une de ces campagnes est liée au récent accident du Boeing 737 Max 8, qui s'est écrasé sans laisser de survivants. Le courriel indique essentiellement qu'un employé de la compagnie a divulgué des informations importantes relatives à l'accident.
Le message suggère également que ces informations soient transmises aux "proches" de toutes les victimes. Le courriel contient une pièce jointe (au moment de la recherche, un fichier d'archive JAR), mais son ouverture entraîne l'infiltration du RAT H-WORM. En outre, une campagne identique a été utilisée pour faire proliférer le cheval de Troie voleur d'informations Adwind au même moment.
Par conséquent, si vous avez ouvert des pièces jointes diffusées dans le cadre de cette campagne, votre ordinateur est probablement infecté par Adwind. Comme indiqué ci-dessus, H-WORM est également doté d'une fonction de distribution USB. Bien que cette fonction ne fonctionne pas actuellement, la situation pourrait changer et le RAT s'infiltrera également dans les ordinateurs par le biais de périphériques USB infectés.
Comment éviter l'installation de maliciels ?
Pour éviter les infections informatiques, soyez très prudent lorsque vous naviguez sur l'internet et que vous téléchargez/installez/mettez à jour des logiciels. Analysez attentivement chaque pièce jointe reçue par courriel. Les fichiers/liens non pertinents et ceux envoyés par des adresses courriel suspectes ne doivent jamais être ouverts. Téléchargez des applications à partir de sources officielles uniquement, en utilisant des liens de téléchargement directs.
Évitez d'utiliser des téléchargeurs/installateurs tiers, car ils contiennent souvent des applications malveillantes. Maintenir à jour les logiciels installés et les systèmes d'exploitation. Pour ce faire, n'utilisez que les fonctions ou outils mis en œuvre par les développeurs officiels. Installez et exécutez une suite antivirus/anti-spyware réputée, car ces outils détectent et éliminent les maliciels avant que le système ne soit endommagé.
Les principales raisons des infections informatiques sont une mauvaise connaissance de ces menaces et un comportement imprudent - la clé de la sécurité est la prudence. Si vous pensez que votre ordinateur est déjà infecté, nous vous recommandons de lancer une analyse avec Combo Cleaner pour éliminer automatiquement les maliciels infiltrés.
Liste complète des fonctionnalités du RAT H-Worm :
- cmd-shell - Exécute la valeur param avec "cmd.exe /c" et renvoie le résultat.
- delete - Supprime le fichier ou le dossier spécifié dans le paramètre
- enum-driver - Envoie toutes les informations sur le lecteur au C&Ce
- num-faf - Envoie tous les attributs des fichiers et des dossiers dans un répertoire spécifié
- enum-process - Envoie tous les processus en cours d'exécution
- execute - Exécute la valeur du paramètre à l'aide de "execute".
- exit-process - Met fin au processus spécifié dans le paramètre
- recv - Télécharge un fichier vers le serveur C&C
- send - Télécharge le fichier depuis le serveur C&C
- site-send - Télécharge un fichier à partir d'une URL
- sleep - L'appel à la mise en sommeil indiqué dans le paramètre est transmis à eval()
- uninstall - Supprime les entrées de démarrage et la charge utile
- update - Remplace la charge utile et redémarre avec le moteur wscript.
Campagne de courriels de spam liée à l'accident du Boeing 737 Max 8 et faisant la promotion du RAT H-Worm :
Texte présenté dans ce courriel :
Greetings
I believe you have heard about the latest crash Boeing 737 MAX 8 which happen on sunday 10 march 2019, All passengers and crew were killed in the accident
Ethiopian Airlines Flight ET302 from Addis Ababa, Ethiopia, to Nairobi, Kenya, crashed shortly after takeoff
The dead were of 35 different nationalities, including eight Americans.
On 29 October 2018, the Boeing 737 MAX 8 operating the route crashed into the Java Sea 12 minutes after takeoff.
All 189 passengers and crew were killed in the accident.
note: there was a leak information from Darkweb which listed all the airline companies that will go down soon.
kindly notify your love ones about the informations on these file.
RegardsJoshua Berlinger
private inteligent analyst
Suppression automatique et instantanée des maliciels :
La suppression manuelle des menaces peut être un processus long et compliqué qui nécessite des compétences informatiques avancées. Combo Cleaner est un outil professionnel de suppression automatique des maliciels qui est recommandé pour se débarrasser de ces derniers. Téléchargez-le en cliquant sur le bouton ci-dessous :
▼ TÉLÉCHARGEZ Combo Cleaner
Le scanneur gratuit vérifie si votre ordinateur est infecté. Pour utiliser le produit complet, vous devez acheter une licence pour Combo Cleaner. 7 jours d’essai limité gratuit disponible. Combo Cleaner est détenu et exploité par Rcs Lt, la société mère de PCRisk. Lire la suite. En téléchargeant n'importe quel logiciel listé sur ce site web vous acceptez notre Politique de Confidentialité et nos Conditions d’Utilisation.
Menu rapide :
- Qu'est-ce que H-Worm ?
- ETAPE 1. Suppression manuelle du maliciel H-Worm.
- ETAPE 2. Vérifiez si votre ordinateur est propre.
Comment supprimer manuellement les maliciels ?
La suppression manuelle des maliciels est une tâche compliquée - il est généralement préférable de permettre aux programmes antivirus ou anti-maliciel de le faire automatiquement. Pour supprimer ce maliciel, nous vous recommandons d'utiliser Combo Cleaner.
Si vous souhaitez supprimer les maliciels manuellement, la première étape consiste à identifier le nom du logiciel malveillant que vous essayez de supprimer. Voici un exemple de programme suspect exécuté sur l'ordinateur d'un utilisateur :
Si vous avez vérifié la liste des programmes exécutés sur votre ordinateur, par exemple à l'aide du gestionnaire de tâches, et identifié un programme qui semble suspect, vous devez continuer avec ces étapes :
Téléchargez un programme appelé Autoruns. Ce programme affiche les emplacements des applications à démarrage automatique, du registre et du système de fichiers :
Redémarrez votre ordinateur en mode sans échec :
Utilisateurs de Windows XP et Windows 7 : démarrez votre ordinateur en mode sans échec. Cliquez sur Démarrer, cliquez sur Arrêter, cliquez sur Redémarrer, cliquez sur OK. Pendant le processus de démarrage de votre ordinateur, appuyez plusieurs fois sur la touche F8 de votre clavier jusqu'à ce que le menu Options avancées de Windows s'affiche, puis sélectionnez Mode sans échec avec mise en réseau dans la liste.
Vidéo montrant comment démarrer Windows 7 en "Mode sans échec avec mise en réseau" :
Utilisateurs de Windows 8 : Démarrer Windows 8 en mode sans échec avec mise en réseau - Accédez à l'écran de démarrage de Windows 8, tapez Avancé, dans les résultats de la recherche, sélectionnez Paramètres. Cliquez sur Options de démarrage avancées, dans la fenêtre "Paramètres généraux du PC" ouverte, sélectionnez Démarrage avancé.
Cliquez sur le bouton "Redémarrer maintenant". Votre ordinateur va maintenant redémarrer dans le "menu des options de démarrage avancées". Cliquez sur le bouton "Dépanner", puis cliquez sur le bouton "Options avancées". Dans l'écran des options avancées, cliquez sur "Paramètres de démarrage".
Cliquez sur le bouton "Redémarrer". Votre PC redémarrera dans l'écran Paramètres de démarrage. Appuyez sur F5 pour démarrer en mode sans échec avec mise en réseau.
Vidéo montrant comment démarrer Windows 8 en "Mode sans échec avec mise en réseau" :
Utilisateurs de Windows 10 : Cliquez sur le logo Windows et sélectionnez l'icône Alimentation. Dans le menu ouvert, cliquez sur "Redémarrer" tout en maintenant le bouton "Shift" de votre clavier enfoncé. Dans la fenêtre "choisir une option", cliquez sur "Dépanner", sélectionnez ensuite "Options avancées".
Dans le menu des options avancées, sélectionnez "Paramètres de démarrage" et cliquez sur le bouton "Redémarrer". Dans la fenêtre suivante, vous devez cliquer sur le bouton "F5" de votre clavier. Cela redémarrera votre système d'exploitation en mode sans échec avec mise en réseau.
Vidéo montrant comment démarrer Windows 10 en "Mode sans échec avec mise en réseau" :
Extrayez l'archive téléchargée et exécutez le fichier Autoruns.exe.
Dans l'application Autoruns, cliquez sur "Options" en haut et décochez les options "Masquer les emplacements vides" et "Masquer les entrées Windows". Après cette procédure, cliquez sur l'icône "Actualiser".
Consultez la liste fournie par l'application Autoruns et localisez le fichier malveillant que vous souhaitez éliminer.
Vous devez écrire son chemin complet et son nom. Notez que certains maliciels masquent les noms de processus sous des noms de processus Windows légitimes. À ce stade, il est très important d'éviter de supprimer des fichiers système. Après avoir localisé le programme suspect que vous souhaitez supprimer, cliquez avec le bouton droit de la souris sur son nom et choisissez "Supprimer".
Après avoir supprimé le maliciel via l'application Autoruns (cela garantit que le maliciel ne s'exécutera pas automatiquement au prochain démarrage du système), vous devez rechercher le nom du maliciel sur votre ordinateur. Assurez-vous d'activer les fichiers et dossiers cachés avant de continuer. Si vous trouvez le nom de fichier du maliciel, assurez-vous de le supprimer.
Redémarrez votre ordinateur en mode normal. En suivant ces étapes, vous devriez supprimer tout maliciel de votre ordinateur. Notez que la suppression manuelle des menaces nécessite des compétences informatiques avancées. Si vous ne possédez pas ces compétences, laissez la suppression des maliciels aux programmes antivirus et anti-maliciel.
Ces étapes peuvent ne pas fonctionner avec les infections de maliciels avancés. Comme toujours, il est préférable de prévenir l'infection que d'essayer de supprimer les maliciels plus tard. Pour protéger votre ordinateur, installez les dernières mises à jour du système d'exploitation et utilisez un logiciel antivirus. Pour être sûr que votre ordinateur est exempt d'infections malveillantes, nous vous recommandons de l'analyser avec Combo Cleaner.
Foire Aux Questions (FAQ)
Mon ordinateur est infecté par le maliciel H-WORM. Dois-je formater mon périphérique de stockage pour m'en débarrasser ?
La suppression des maliciels nécessite rarement un formatage.
Quels sont les plus gros problèmes que les maliciels H-WORM peuvent causer ?
Les menaces posées par les maliciels dépendent des capacités du maliciel et de l'ingérence des cybercriminels. H-WORM est un cheval de Troie d'accès à distance très polyvalent. Il dispose d'une grande variété de fonctionnalités et peut provoquer de multiples infections du système. Les dangers associés à ce programme sont donc particulièrement vastes : diminution des performances du système ou défaillance, perte de données, graves problèmes de confidentialité, pertes financières et vol d'identité.
Quel est l'objectif du maliciel H-WORM ?
La plupart des programmes malveillants sont utilisés pour générer des revenus. Toutefois, les infections par des maliciels peuvent également être motivées par l'amusement des cybercriminels ou par des rancunes personnelles, par la perturbation de processus (par exemple, sites web, services, entreprises, etc.) et par des raisons politiques/géopolitiques.
Comment le maliciel H-WORM s'est-il infiltré dans mon ordinateur ?
Les logiciels malveillants sont principalement distribués par le biais de téléchargements "drive-by", d'escroqueries en ligne, de courriers indésirables, de publicités malveillantes, de sources de téléchargement non fiables (par exemple, les sites web de freeware et de tiers, les réseaux de partage Peer-to-Peer, etc. En outre, certains programmes malveillants peuvent se propager eux-mêmes via les réseaux locaux et les périphériques de stockage amovibles.
Combo Cleaner me protège-t-il des maliciels ?
Oui, Combo Cleaner est capable de détecter et d'éliminer la plupart des maliciels connus. Notez que, comme les logiciels malveillants sophistiqués se cachent généralement au cœur des systèmes, il est essentiel d'effectuer une analyse complète du système.
▼ Montrer la discussion