Adwind是一个众所周知的多功能恶意软件程序，它在2017年底引起了一波攻击浪潮。Adwind远程管理工具（RAT）是一种基于Java的后门特洛伊木马，它针对支持Java文件的各种平台。通常，Adwind通过混淆逃避检测。其有效载荷和配置文件（用作安装文件）使用DES、RC4或RC6密码进行加密，不同的变体应用不同的加密方式。

近日，McAfee研究人员发现一种Adwind变体，它作为JAR附件通过垃圾邮件传播，最终利用Houdini VBS蠕虫感染用户。新变体中存在大量混淆的base64编码数据。Adwind后门将在执行期间动态解密。新变体会创建一个运行条目维持持久性，并且会检查系统上安装的反恶意软件产品。

关键信息

Adwind主要针对与Java应用程序兼容的平台，并运行Java Runtime Environment；

主要使用恶意JAR文件作为垃圾邮件中的附件，这在早期的攻击活动中很明显；

一旦JAR文件在系统中运行，就会安装Adwind并与远程服务器通信以进行其他恶意活动；

最新变体与基于H-Worm / Houdini VBS的蠕虫捆绑，最终成功感染系统；

名为operational.Jrat的文件会部署最终的恶意有效负载，从而完全破坏系统；

另一个名为Bymqzbfsrg.vbs的文件使攻击者能够控制受感染的设备。

感染链

Adwind的传播机制与以前的版本相比，并没有多大变化。它跟随带有.jar附件的垃圾邮件到达目标设备。电子邮件的内容经过精心设计，利用社交工程学技术吸引受害者。总结整个感染链，如下图所示：

垃圾邮件可能如下所示：

Adwind恶意功能

众所周知，Adwind拥有许多恶意功能，包括记录击键、从Web表单窃取密码和数据、从网络摄像头获取屏幕截图和视频，最后将这些文件传输到远程服务器。Adwind随后还开发了新的功能，如窃取加密货币钱包以及利用VPN证书。

在2017年，研究人员发现关于Adwind垃圾邮件活动，其可以从防病毒和类似安全软件中逃避检测。这是由于调用了多个JAR文件中存在的复杂分层函数。

在早期的攻击活动中，Adwind依赖不同的文件扩展名，如.dll、.bin和.so。据估计，2017年有超过一百万封恶意电子邮件被发送给受害者。

作者：Gump  原文地址：http://www.mottoin.com/news/134745.html