Análisis de la APT H-Worm

El CCN-CERT ha publicado en la parte privada del portal (de acceso restringido a los miembros de su Comunidad) el Informe de Código Dañino CCN-CERT ID-11/15 H-Worm - Houdini. El documento recoge el análisis de una amenaza persistente avanzada (APT) conocida como "H-Worm", creada por un individuo llamado "Houdini", que utiliza habitualmente dispositivos de almacenamiento extraíbles (USB) como método de propagación y que permite un control total del equipo infectado.

Esta variante, en la actualidad, es ampliamente detectada por las firmas antivirus existentes y algúnas de ellas lo etiquetan como "Worm.vbs.Dunihi"  o "Worm.vbs.Jenxcus". Se ha observado que las diferencias entre las distintas variantes existentes se encuentran en el nivel de ofuscación del código original, para que las firmas antivirus no lo detecten, y en el cambio de los nombres de los archivos empleados.

El informe recoge, entre otras, las siguientes secciones:

  • Características del código dañino
  • Detalles generales
  • Procedimiento de infección
  • Características técnicas (conexión con el servidor de Mando y Control, comandas disponibles, dispositivos de almacenamiento extraíbles y accesos directos)
  • Cifrado y ofuscación
  • Persistencia en el sistema
  • Conexiones de red
  • Ficheros relacionados
  • Detección
  • Desinfección
  • Información del atacante
  • Reglas de detección

Puede acceder al informe en la sección de Informes de Código Dañino del portal.

Ministerio de Defensa
CNI
CCN
CCN-CERT