NetWire：远控木马家族一员，新变种借Excel 4.0 Macro传播？

，远控木马（ ，RAT）家族中的一员，在过去的几年里主要被网络黑客用于从目标主机手机各种凭证、硬件信息（包括硬盘驱动器、网卡等）以及按键记录。

值得一提的是， RAT还是一种商业化的软件，包年的费用也就不过120美元而已。

图1.在网上出售的 RAT

近日， Labs就再次捕获了一个新的 RAT变种，它也是首个试图借助Excel 4.0 Macro传播的 RAT变种。

什么是Excel 4.0 Macro？

Excel 4.0于1992年发布，包含Macro的早期版本，因此这种宏被称为“Excel 4.0 Macro”。尽管在1993年被VBA宏替代，但微软出于兼容考虑，还是保留了后续版本 Excel对Excel 4.0 Macro的支持。

为什么Excel 4.0 Macro会遭到滥用？

首先，它可以绕过目前市面上大多数防病毒产品的检测——可能来源于该技术已经非常古老（据今已28年），并且如今很少被使用。

其次，它无法调试——这是因为从未为其提供调试功能，这给安全研究人员检查复杂的Excel 4.0 Macro代码带来了巨大的挑战。

恶意Excel文件样本分析

Labs此次捕获的恶意Excel文件样本被命名为“1040 W2 IRS .xls”。显然，攻击者是想要将它伪装成来自美国国家税务局（ ，IRS）。

图2.恶意Excel文件样本

分析表面，Excel 4.0 Macro就位于名为“”的工作表中。当然，你无法在上图中看到该表，因为它被攻击者设置为了“隐藏”。

恶意宏代码位于的“$A$9591”单元格中，一旦执行，就将使用其中的参数执行程序“.exe”，而该程序将从网站下载一个MSI文件，然后使用程序“.exe”执行它。

图3. $A$9591单元格的内容

MSI文件分析

下载的MSI文件名为“.msi”，包含具有PE结构（EXE文件）的二进制流。

图4.具有二进制流的MSI文件结构

二进制流后续会被提取到一个临时文件（如“.tmp”）中，并在“.exe”进程中进行处理时执行。

提取的PE文件（.tmp）是一种使用MS Basic 5.0-6.0语言编写的恶意软件加载程序或下载程序。

启动时，它会将恶意代码转移到子进程“.exe”中并在其中执行。

长久驻留机制通过添加新的注册表项实现，提取的PE文件将被复制并重命名为“％％\\.exe”。

图5.被添加到自启动组的新注册表项

接下来，它将从http//

ru/FB0.bin下载一个加密的bin文件。

图6.下载bin文件的包

最后，它将解密bin文件以获取另一个PE文件，而该文件正是新变种的有效载荷。

有效载荷分析

有效载荷的执行从函数Start()开始。

为了实现按键记录，另一个线程将会被启动。

图7.用于启动按键记录程序的线程

在与C＆C服务器建立连接后，会将受感染计算机的当前系统时间、ID、登录用户、计算机名称等信息一起发送给C＆C服务器。

随后，C＆C服务器还会继续以每分钟一次的频率向发送命令，以获取当前处于最顶层的窗口的标题（即受害者正在操作的窗口。比如，打开电子邮箱写邮件，我们在浏览器或者邮箱客户端顶部就会看到诸如“XX邮箱”这样的标题）。

如果窗口标题符合匹配规则，那么C＆C服务器就会要求进行屏幕截图，并以JPEG格式返回数据包。

图8.以JPEG格式捕获的屏幕截图

结语

Labs警告称，如今试图借助Excel 4.0 Macro Excel文件来传播的恶意软件数量呈现出明显的上升趋势。因此，我们再一次提醒大家，来源不明的各种文档一定不要打开查看，谨防“好奇害死猫”。

文件 Excel Macro 恶意 执行 程序