El CCN-CERT ha publicado en la parte privada del portal (de acceso restringido a los miembros de su Comunidad) el Informe de Código Dañino CCN-CERT ID-11/15 H-Worm - Houdini. El documento recoge el análisis de una amenaza persistente avanzada (APT) conocida como "H-Worm", creada por un individuo llamado "Houdini", que utiliza habitualmente dispositivos de almacenamiento extraíbles (USB) como método de propagación y que permite un control total del equipo infectado.
Esta variante, en la actualidad, es ampliamente detectada por las firmas antivirus existentes y algúnas de ellas lo etiquetan como "Worm.vbs.Dunihi" o "Worm.vbs.Jenxcus". Se ha observado que las diferencias entre las distintas variantes existentes se encuentran en el nivel de ofuscación del código original, para que las firmas antivirus no lo detecten, y en el cambio de los nombres de los archivos empleados.
El informe recoge, entre otras, las siguientes secciones:
- Características del código dañino
- Detalles generales
- Procedimiento de infección
- Características técnicas (conexión con el servidor de Mando y Control, comandas disponibles, dispositivos de almacenamiento extraíbles y accesos directos)
- Cifrado y ofuscación
- Persistencia en el sistema
- Conexiones de red
- Ficheros relacionados
- Detección
- Desinfección
- Información del atacante
- Reglas de detección
Puede acceder al informe en la sección de Informes de Código Dañino del portal.