那些经常与垃圾邮件活动打交道的人们都知道坏人们往往都是使用不同的文件格式感染终端用户或者公司。RAR、ZIP、PDF、具有宏/利用的不同办公文件以及由wscript执行的VBS/JS都是在这样的活动中会被经常使用的文件格式。

而我个人则对他们使用ACE格式文件进行的活动非常感兴趣，本文也正是出于此目的所完成的。如果你不太了解ACE文件格式，那么你可以通过这里的一些信息来进行详细的了解，而要想常看到底有多少恶意软件使用了这种格式来进行压缩，我们可以查询VirusTotal：

正如你所看到的，在VirusTotal上有很多与这一文件格式相匹配的内容出现。

理论上7z是支持打开ACE文件的，但事实上在较新的版本中7z是无法做到的。

另外也存在其他软件支持ACE文件，但却并没有工作：

如果你尝试使用unace打开该文件，那么你会收到一个错误：

于是，我试着找到了一个unace包来打开ACE文件:

这时你只需要解压缩“linunace25.tar.gz”，并直接使用ELF文件获取file.compressed即可：

所以，最后我们得到了PE文件，然后这就可以让我们上传文件到我们最喜欢的免费在线恶意软件分析系统https://www.hybrid-analysis.com

Hybrid Analysis将给出关于上传样本行为的重要指标：

这一信息在事件响应方面非常有用，我们可以根据分析过程中发现的行为轻松的找到/搜索你网络中的类似样本。

在分析过程中，该示例可以与我们沙箱的域或IP进行联系，从而可以提取与我们的沙盒在运行恶意文件时看到的相关的网络指标。

同时由于我们的内存分析，我们能够提取到一些重要的内容，比如样品将要使用/搜索的域名或者IP等。

感谢Emergin威胁规则的集成，这使得我们可以很容易地确定样品是Pony！

如果我们看一下示例中产生的HTTP请求，就会发现它试图从远程服务器下载其他PE文件。

由于我们分析的这个远程文件不可用，所以我们需要搜索倒更多的信息，以了解Pony到底在试图下载什么。

在我们使用VirusTotal时，我们发现一些用户已经评论了该文件：

如果你将ACE文件上传到某些电子邮件提供商，比如我使用的Gmail，它是无法验证该文件是否是恶意软件。 但使用其他压缩格式，Gmail就可以检测其中的文件是否是恶意软件。

事实上，我写这篇文章的想法是去了解一个不常见的格式文件，看他怎样感染用户并且如何处理他们。