概要

狼烟情报室是烽火台安全威胁情报联盟成员共同成立的威胁情报联合实验室。

狼烟情报室的研究人员对国外一系列“著名”的木马活动进行了跟踪调查，本报告从威胁情报的角度针对njRAT&H-worm进行分析。

njRAT使用微软.NET框架开发，因其广泛流传的在线支持和教程，成为了最成功的网络犯罪工具之一。H-worm借鉴了njRAT的开源代码，服务端为使用VBS脚本编写，适用于Windows全系操作系统并且使用了比较先进的User-Agent传递数据的方式，具有开启Ｕ盘感染的功能。

H-worm是一个VBS脚本编写的病毒，使用了比较先进的User-Agent传递数据的方式，为网络罪犯提供了类似njRAT的控制方式。

关键点

根据狼烟情报室研究人员跟踪，njRAT&H-worm主要流行于中东地区，有证据表明极端组织ISIS也曾使用njRAT作为重要的网络武器；
H-worm曾被用于攻击国外能源机构；
njRAT主要通过被感染的游戏、破解软件和注册机感染目标设备；
H-worm主要通过携带病毒的电子邮件附件和恶意链接传播扩散；
主要威胁针对所有版本windows操作系统包括目前的win10操作系统，并且网络中流传了njRAT&H-worm对大部分反病毒软件免杀的在线支持和教程；
狼烟情报室研究人员建议采取以下措施来预防和发现njRAT&H-worm的入侵：
依据本报告威胁指示器列表（IOCs）在网络安全设备中添加相应检测和防护策略；
加强邮件服务器对邮件附件和正文中链接的检测能力；
避免从非信任渠道下载游戏、破解软件和注册机等程序；
避免打开不受信任来源的电子邮件，尤其是带有附件和外部链接内容的邮件。

点击下载全文PDF

本文固定链接: http://www.sec-un.org/trojan-information-analysis-njrath-worm.html
转载请注明: 驭龙 2015年12月07日 于 Sec-UN 安全圈 发表

[培训]《安卓高级研修班(网课)》月薪三万计划，掌握调试、分析还原ollvm、vmp的方法，定制art虚拟机自动化脱壳的方法