JAVA+VBS传播RAT

Adwind远程管理工具（RAT）是一个基于Java的后门木马，目标是支持Java文件的平台。要使感染发生，用户必须双击.jar文件才能执行恶意软件，而文件一般都在电子邮件附件中。一般来说，感染要在Java运行环境安装的情况下才能发生。一旦恶意.jar文件在目标系统上成功运行，恶意软件就会悄悄地安装自己，并通过预定义的端口连接到远程服务器上。这样恶意软件就可以接收来自远程攻击者的命令，并执行恶意活动。近期，McAfee实验室研究人员就发现一个通过垃圾邮件传播的JAR附件的变种，并使用Houdini VBS蠕虫来感染用户。

感染链

恶意软件的传播机制与之前版本很像，是以垃圾邮件中的.jar附件的形式产生的。邮件的内容一般都是使用社会工程技术伪造的，以达到引诱用户的打开的目的。研究人员将整个感染链总结如下：

垃圾邮件长这个样子：

Parent JAR文件

为了简单起间，研究人员将附件.jar文件称之为Parent JAR文件，并命名为Sample.jar。Adwind是以混淆的形式出现的，以隐藏其恶意目的。其payload和配置文件用DES, RC4, RC6来加密，具体的加密方法选择是根据变种不同而不同的。Adwind后门会在执行过程中解密。在该变种中，研究人员查看了Manifest.MF中的内容，其有一个类bogjbycqdq.Mawbkhvaype：

Mawbkhvaype.class

该类的主要任务是检查Jar bundle中的资源文件。这里的mzesvhbami资源是一个vbs文件。Mawbkhvaye.class会检查资源section的mzesvhbami，然后在wscript的帮助下在执行前释放bymqzbfsrg.vbs 到用户目录。

Bymqzbfsrg.vbs

其中一大块混淆的base64编码的数据，下面是Bymqzbfsrg.vbs脚本的部分代码：

解混淆和解码后，base64编码的数据会转换为ntfsmgr.jar，并释放到%appdata%/Roaming中。下面是base64编码的数据到JAR文件的转化：

解码为JAR文件(ntfsmgr.jar)

Ntfsmgr.jar

ntfsmgr.jar中比较重要的文件有drop.box, mega.download和sky.drive，会用于之后创建恶意软件的配置文件。

Final Payload

Ntfsmgr.jar有一个main类文件operational.Jrat。operational.Jrat的目的是释放另一个.jar文件到%TEMP%文件夹中，文件名为随机的，格式为[underscore] [dot] [random numbers] [dot]类，比如0.1234567897654265678.class，这是最终的payload并在用户系统中执行恶意活动。下面是在%TEMP%中创建operational.Jrat的代码：

Manifest.MF看似与ntfsmgr.jar文件很类似。最后的Java文件中的所有文件都会在执行过程中解密，会感染系统。Adwind感染系统中，就可以看到键盘记录日志、修改和删除文件、下载和执行恶意软件、截图、访问系统的照相机、控制鼠标和键盘、更新自己等。下面介绍 Bymqzbfsrg.vbs的部分：

Bymqzbfsrg.vbs

成功执行后，Bymqzbfsrg.vbs会释放ntfsmgr.jar和sKXoevtgAv.vbs到%appdata%/Roaming中。

Bymqzbfsrg.vbs会使用ExecuteGlobal动态执行脚本中的naira方法：

动态执行脚本代码如下图所示：

下图代码是释放sKXoevtgAv.vbs到目录%appdata%Roaming的脚本：

下图代码是释放ntfsmgr到目录%appdata%Roaming的脚本：

执行时，sKXoevtgAv.vbs会将自己解码为Houdini vbs蠕虫，这也是最后的payload。脚本代码如下所示：

攻击者可以在受害者机器上执行许多恶意活动，包括：

· 在受害者机器上下载和执行文件；

· 运行命令指令

· 更新或下载自己的备份

· 下载和更新文件

· 删除文件或文件夹

· 中止特定进程

· 在受害者机器上枚举文件和文件夹

其他

驻留

当ntfsmgtr.jar运行时，会将自己添加到开始菜单中，这样就可以在系统启动时运行。

在系统上检查安装的反恶意软件产品。

如果可以的话，还可以复制安装的Java运行文件到受害者主目录的临时目录，否则可以从web下载并复制到相同目录中。