2016-8-19

昨晚真的很开心。
只是,这样的日子却越来越少了。也许这便是三年来最后一次疯狂了。一年后,说不定会有另外一群人,他们相约麓山,聊着往事,然后去山脚下的小黑里吓唬吓唬开黑的人们。

早上来到教室,与意料中的不一样,竟来了不少人。这种情形在我们班还真是少见呐。原来大家都改变了,除了我,还沉浸在过去的生活里,难以自拔。我始终进入不了当初那种忘我的学习状态。我不知道我的学习动力是什么。即使黑暗中总有那一束微弱的余火在挣扎,总还是逃不过泯灭的命运。

H-Worm 校内传播报告

事件起因

据说是由某历史老师从国外带回,在校园内广泛传播,阶梯教室、图书馆等公共计算机成为其重灾区,且 360 无法清除该恶意脚本。

样本分析

样本名

fuck girlMagazines +18 (3).vbs

类别

Virus.Vbs.Crypt.C

行为分析

将设备内所有文件移动到 360SANDBOX 隐藏目录,并为全部文件在原位置建立快捷方式。当用户访问文件时,会先通过快捷方式执行脚本,再访问真实文件来迷惑用户。

脚本代码

源文件:fuck girlMagazines +18 (3)
经过两次 Base64 Decode 以及 ASCII 码替代混淆,我们得到了原始脚本。(感谢 RuanXingZhi 协助解析脚本)

通过阅读源码我们发现,这是一款功能齐全的远控脚本,提供了上传/下载/CMD等多种功能。
脚本作者:houdini
连接域名:mmoohhaammeedd.no-ip.biz
监听端口:12
感染特征:免费动态域名+非知名的端口+“/is-ready”

我们拿到了 H-Worm 控制端,界面很美观,功能很强大,还可以自身更新、卸载,赞。
事后(2016-8)我们通过查阅发现,2016-7-1 360 发布了关于 H-Worm 的漏洞报告(H-WORM:简单而活跃的远控木马),其中提到了以下 C&C 服务器地址,建议各网络管理员拉黑处理。

处理方法

禁用 Autorun.inf,删除 *.lnk,选择主流安全软件。

参考文献

[1]Fireeye – Now you see me H-Worm by Houdini

后记

2014/12/26 本文发布
2014/12/** 学校网络中心称此问题无法解决
2016/08/11 更新内容与脚本

2016-8-8

Friends are angels who lift us to our feet when our wings have trouble remembering how to fly.


Aliyun HK考虑中。
手贱申请了 Microsoft Students Partners,现在又反悔了TuT. M$ 不要给我打电话hhh。

ChinaMoe

2016年8月7日

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


JXU1Rjg4JXU2MkIxJXU2QjQ5JXVGRjBDJXU0RTNBJXU0RTg2JXU5MDdGJXU1MTREJXU0RUU1JXU0RTBBJXU2RDg4JXU2MDZGJXU1RjcxJXU1NENEJXU1MjMwVEEldTc2ODQldTVGQzMldTYwQzUldUZGMEMldTYyMTEldTkxQzcldTc1MjgldTRFODZCYXNlNjQlMjBFbmNvZGUldTMwMDI=

ChinaMoe

2016年8月6日

JXU2MjExJXU2NzA5JXU0RTlCJXU1NTlDJXU2QjIyJXU0RTBBJXU0RjYwJXU0RTg2JXUzMDAy


仅此而已。仅此而已!

难言

我曾在想,悄悄话的意义是什么?

发送者看着消息心怀忐忑,为不知的未来而担忧;接收者望着「发送」犹豫不决,为消息的到来而发愁。

当此举使得接收者大费周章地去猜测发送者的身份时,悄悄话又有什么意义呢?不如坦然地回答,即使自己心知肚明。当此举使得发送者想提出一个与自己相关的问题而又担心泄露身份时,悄悄话又有什么意义呢?不如直接明白地去询问,即使被冷落。

不过,此时的我有着更多的感受——在悄悄话的环境里,即使双方已经隐晦地表明身份,往往仍然会处于一种特殊的氛围之中,就仿佛互不知情一般。于是,难言的话题得以继续,此时此刻,我们得以倾听对方最真实的声音……

噢,是这样的。