1

我在客户的计算机上找到了一个 Client.jar 文件,其中包含两个 .class 文件,我可以将它们反编译为这两个文件:

客户端.java

一、java

此外,还有一个 I.gif 显然不是用十六进制编辑器查看的 GIF。

它们显然被混淆了,我对 Java 并没有那么感兴趣。我试图在虚拟机中运行,但它告诉我“无法从 Client.jar 加载主类清单属性”

可能是主类不在清单中,但是如何解决这个问题?这是否意味着它无法在客户的计算机上运行?

还有一个 META-INF 文件夹,其中包含文件 MANIFEST.MF、ME.DSA、ME.SF。

MANIFEST.MF 看起来像这样:

Manifest-Version: 1.0
Created-By: 1.6.0_20 (Sun Microsystems Inc.)

Name: Client.class
SHA1-Digest: ex7bAth9HYUTIi8EcpeOc1OsVMg=

Name: I/I.class
SHA1-Digest: 0H6A7/XmOCNhayPI9TwC45Mky4s=

Name: I/I.gif
SHA1-Digest: AzzSpXaRFMYvtYJvrnFsHQDvJkE=

我想通过在沙盒或虚拟机中运行它来进一步分析它,错误是什么意思我该如何运行它?

这显然是某种恶意软件,所以只有专家才能回答这个问题。提前致谢!

4

2 回答 2

2

为了从 jar 文件启动 Java 应用程序,它必须知道哪个类构成了入口点。该类需要一个main方法。它可以在 jarMANIFEST.MF文件中指定,也可以在运行时指定(例如,从命令行)。

反编译的类(确实似乎被混淆了)不包含 main 方法。所以这不会是一个可以作为独立应用程序运行的 jar。但是,ClientextendsApplet表明它打算在浏览器中作为 Web 小程序运行。检查此页面以了解如何运行它。

如果您怀疑它是恶意的,最好通过一堆病毒/间谍软件/广告软件扫描程序来运行它。

编辑:在更改代码并使用 gif 运行它之后(如果您不确定自己在做什么,请不要这样做!),我得出的结论是:

首先,“gif”将以某种迂回的方式解码。它的前三个字节决定了将要加载 gif 其余部分的字节数组的大小。此字节数组的一部分用于构造小程序中使用的字符串。

当小程序初始化时,它将获取小程序参数的值AMLMAFOIEA。此参数需要在包含小程序的 HTML 中设置,因此该值将取决于运行小程序的页面。这是如何设置的详细信息。

之后,它将获取环境变量的值TEMP。就我而言,这指向AppData\Local\Temp我的用户目录。它会附加\JavaLoad.exe到这个并使用那个路径来创建一个FileOutputStream,所以很明显它试图在你的临时文件夹中写出一个 JavaLoad.exe 文件。

然后它将建立到由AMLMAFOIEAapplet 参数指定的 URL 的 HTTP 连接,并将其请求方法设置为GET. 将从连接中打开一个流,并将其内容转储到 JavaLoad.exe 文件中。

代码块的不断重复

  if ((this.b == this.c) && (this.b + I.I(1) == this.c + I.I(1)))
  {
    this.b = I.I(4);
    this.c = I.I(6);
    this.b = this.c;
  }

似乎什么都不做。它可能是由混淆器添加的,以使您偏离轨道,因为这似乎没有任何功能影响。所有重要的事情都是在这些测试和字段之外完成的,b并且c似乎从未用于任何真正有用的东西,只有字段a用于保存目标 URL 字符串。

因此,总而言之,这似乎非常可疑。但它真正尝试从哪个 URL 下载内容取决于小程序的环境。不幸的是,这并没有为我们指出任何真正的来源。也许这是一个通用的特洛伊木马客户端,旨在供希望通过带有小程序的站点传递恶意负载的任何人使用。由于小程序在权限有限的沙箱中运行,我不确定这是否可行。我也不知道它最终将如何运行 JavaLoad.exe。我想它依赖于其他一些期望这个文件存在的过程,也许通常是无害的。

这很有趣。感谢您的资源。如果您不是 Java 开发人员并且不知道如何从代码中删除危险部分,我建议您不要尝试自己运行任何这些东西。

于 2011-10-31T17:23:24.103 回答
1

正如您在帖子中看到的那样,MANIFEST.MF 不包含主类属性。这可能是一个 troyan 下载器,它肯定会打开一个 httpconnection,下载文件并执行它们。gif 文件似乎包含 url。

我强烈建议删除此 jar 并扫描计算机以查找恶意软件!不要尝试执行它。

于 2011-10-31T17:21:53.010 回答