s.exe为一个.NET平台可执行文件，通过沙箱行为报告可发现，最终效果会是一个典型的njRAT远控客户端木马。

 

这里简单介绍一下njRAT远控木马，njRAT也称为Bladabindi和Njw0rm，是一种远控木马，用于远程控制受感染的计算机。由于其可用性与过多的在线教程和强大的核心功能集 合加上几种已实现的逃脱技术，这使得njRAT成为全球使用最广泛的RAT之一。

 

该恶意软件在2013年首次被检测到，但是研究人员在2012年也观察到了一些相关的RAT。2014年中东是njRAT木马攻击最多的区域，这是该恶意软件的最有针对性的区域。

 

njRAT木马是建立在.NET框架上的，该RAT使黑客能够远程控制受害者的PC。njRAT允许攻击者激活网络摄像头，记录键盘输入并从Web浏览器以及多个桌面应用程序窃取密码。

 

此外，该恶意软件还使黑客能够访问受感染计算机上的命令行，它允许攻击者结束进程以及远程执行和操作文件，最重要的是njRAT能够修改系统注册表，被感染时将收集有关其进入的PC的一些信息，包括计算机名称，操作系统编号，计算机的国家/地区，用户名和操作系统版本。

 

此外，该恶意软件还可以锁定加密货币钱包应用程序并从PC中窃取加密货币。例如它能够获取比特币，甚至访问信用 卡信息。

 

感染计算机后，恶意软件会使用变量名并将其复制到％TEMP％，％APPDATA％，％USERPROFILE％，％ALLUSERSPROFILE％或％windir％中，它还可以将自身复制到<任何字符串>.exe，以确保受害者每次打开计算机时都会被启动。

 

njRAT有一些技巧，可以避免被防病毒软件检测到。例如，它可以使用多个.NET混淆器来混淆其代码。该恶意软件使用的另一种技术是伪装成关键进程，也使得njRAT很难从受感染的PC中被清除。njRAT还可以停用属于防病毒软件的进程，从而使其保持隐藏状态。njRAT还知道如何检测它是否已在虚拟机上运行。

 

为了传播，njRAT可以检测到通过USB连接的外部硬盘驱动器。一旦检测到此类设备，RAT就会将自身复制到连接的驱动器上并创建快捷方式进行传播。

 

njRAT的创建者是一个名为Sparclyheason的地下黑客社区的成员，显然，他们创建了一种非常流行且具有破坏性的恶意软件。

 

s.exe同样为.NET平台可执行文件，如下。

s.exe采用了创建窗口的时候从pastbin.com站点下载payload，之后本地采用CallByName调用执行，属于一层外壳。

虽然时间过去几年了，但是这个恶意payload地址还在，如下。

手工提取解码后，分析发现还是.NET平台可执行文件。

进入入口点后如果熟悉njRAT的话就会发现很明显的njRAT入口代码，如下。

版本为0.7d，会进行通信的C&C以及端口也提供了。

简单溯源