远控木马家族 NetWiredRC解析

近期通过对互联网的检测发现一个远控木马家族 NetWiredRC，该家族在 4 月 24 号左右 刚刚出现，研究人员将该家族聚类为 T-F-240477。该家族通过发送钓鱼邮件，诱导用户打 开带有恶意宏代码的 word 格式附件，打开附件后，电脑就会下载安装远程控制木马，木马 会窃取中毒电脑的机密信息上传到控制者服务器。 

NetWiredRC 远控木马家族通过电子邮件传播，诱导用户打开带有恶意宏的 word 附件， 宏代码会从 jamrockiriejerk.ca 地址下载远程控制木马主体，监视用户电脑、窃取活动窗 口信息与键盘记录，盗窃用户登录凭证、桌面截图等，收集到的中招用户机密信息被上传到 ml.warzoneDNS.com:4772，病毒还会接受远程服务器指令，执行更多恶意行为。 分析中发现若文档中的恶意宏代码执行后，解密出木马下载地址以及下载后将要保存的 目录，然后调用 URLDownloadToFile 下载该远控木马，并将其保存至%Temp%目录下载，最后 启动执行该木马。 

（ 木马下载地址： hxxp://jamrockiriejerk.ca/xps.exe 保 存 路 径：%Temp%\r2pkwgzhb.exe） 远控木马运行后生成单独线程不断获取用户正在使用的窗口标题和用户对应按键操作， 窃 取 的 用 户 凭 证 加 密 写 入 日 志 文 件 ： C:\Documents and Settings\Administrator\Application Data\Logs\12-05-2019。获取计算机名、磁盘、操 作系统等信息，读取日志文件内容上传到服务器 ml.warzonedns.com，伺机等待服务器指令 控制用户电脑，或者其他更多恶意行为。 

预防措施：

建议用户做好安全防护，不要打开不明来源的邮件附件，除非明确清除文档来源可靠， 否则不要启用 Office 宏代码；不运行来历不明的程序；在所使用的计算机中安装安全防护 软件，拦截木马攻击。