我在客户的计算机上找到了一个Client.jar文件,其中包含两个.class文件,我可以将其反编译为这两个文件:
此外还有一个I.gif,显然没有GIF用十六进制编辑器查看它。
他们显然是混淆的,我不是那么多Java。我试图在VM中运行,但它告诉我“无法从Client.jar加载Main-Class清单属性”
可能是,主要类不在清单中,但如何解决这个问题? 这是否意味着,它无法在客户的计算机上运行?
还有一个META-INF文件夹,其中包含文件MANIFEST.MF,ME.DSA,ME.SF。
MANIFEST.MF看起来像这样:
Manifest-Version: 1.0
Created-By: 1.6.0_20 (Sun Microsystems Inc.)
Name: Client.class
SHA1-Digest: ex7bAth9HYUTIi8EcpeOc1OsVMg=
Name: I/I.class
SHA1-Digest: 0H6A7/XmOCNhayPI9TwC45Mky4s=
Name: I/I.gif
SHA1-Digest: AzzSpXaRFMYvtYJvrnFsHQDvJkE=
我想通过在sandboxie或VM中运行它来进一步分析,错误是什么意思我怎么运行它?
这显然是某种恶意软件,所以只有专家才能回答这个问题。提前谢谢!
答案 0 :(得分:2)
为了从jar文件启动Java应用程序,它必须知道哪个类构成了入口点。该类需要main方法。它可以在jar的MANIFEST.MF文件中指定,也可以在运行时指定(例如,从命令行)。
反编译的类(确实似乎被混淆了)不包含main方法。所以这不会是一个可以作为独立应用程序运行的jar。但是,Client扩展了Applet,表明这是在浏览器中作为Web小程序运行的。检查this page以了解如何运行它。
如果您怀疑它是恶意的,可能最好通过一堆病毒/间谍软件/广告软件扫描程序运行它。
编辑:更改代码并使用gif运行后(如果您不确定自己在做什么,请不要这样做!),我得出结论,这就是发生的事情:
首先,“gif”将以一种有点圆的方式解码。它的前三个字节决定了gif的其余部分将被加载到的字节数组的大小。此字节数组的一部分用于构造小程序中使用的字符串。
初始化applet时,它将获取applet参数AMLMAFOIEA的值。需要在包含applet的HTML中设置此参数,因此该值将取决于运行applet的页面。 Here's the details of how this is set.
之后,它将获得环境变量TEMP的值。在我的例子中,这指向我的用户目录中的AppData\Local\Temp。它会将\JavaLoad.exe附加到此并使用该路径创建FileOutputStream,所以显然它正在尝试在您的临时文件夹中写出一个JavaLoad.exe文件。
然后,它将建立与AMLMAFOIEA applet参数指定的URL的HTTP连接,并将其请求方法设置为GET。将从连接打开流,并将其内容转储到JavaLoad.exe文件中。
代码块的不断重复
if ((this.b == this.c) && (this.b + I.I(1) == this.c + I.I(1)))
{
this.b = I.I(4);
this.c = I.I(6);
this.b = this.c;
}
似乎什么都不做。它可能被混淆器添加,使您偏离轨道,因为这似乎没有任何功能影响。所有重要的事情都是在这些测试之外完成的,字段b和c似乎从未用于任何真正有用的功能,只有字段a用于保存目标URL字符串。
因此,总而言之,这似乎非常可疑。但它真正尝试从中下载内容的URL将取决于applet的环境。不幸的是,这并没有指出任何真正的来源。也许这是一个普通的木马客户端,供任何希望通过带有applet的站点提供恶意负载的人使用。由于applet在权限有限的沙箱中运行,我不确定这是否可行。我也不知道它最终将如何运行JavaLoad.exe。我想它依赖于其他一些希望这个文件存在的进程,也许通常是无害的。
这很有意思。谢谢你的资源。如果您不是Java开发人员并且不知道如何从代码中删除危险部分,我建议您不要尝试自己运行任何这些东西。
答案 1 :(得分:1)
MANIFEST.MF不包含主类属性,您可以在帖子中看到。这可能是一个特洛伊下载程序,它肯定会打开一个httpconnection,下载文件并执行它们。 gif文件似乎包含url。
我强烈建议删除此jar并扫描计算机以查找恶意软件!不要试图执行它。