自2012年以来一直存在的僵尸网络恶意软件Necurs已经得到改进，因为攻击者希望能够更好的击败网络安全措施，所以它被发现使用.URL文件发展其第二层感染（远程脚本下载程序被趋势科技检测为MAL_CERBER- JS03D，MAL_NEMUCOD-JS21B，VBS_SCARAB.SMJS02和MAL_SCARAB-VBS30）。

作为一种模块化的恶意软件，Necurs及其变种具有发送垃圾邮件、信息窃取以及禁用安全服务和元素的功能。自2012年以来一直存在，并通过Necurs僵尸网络在野外传播。在2017年，它推出了Locky——一个勒索软件家族，其中一个变种是24小时内通过2300万封电子邮件发布的（通过一个仅有URL的垃圾邮件行动）。去年，我们还看到了Necurs推送双压缩附件，既包含JavaScript、Visual Basic脚本，又包含具有下载其最终payload功能的宏文件。为了避免通过附件检测到垃圾邮件，Necurs使用了包含.ZIP文件来伪装脚本下载器的附件，该文件后来被封装在另一个.ZIP中以隐藏自身。

Necurs的转变：.URL文件

为了找到其他有效的方法来欺骗受害者，同时消除针对它的反措施，Necurs不断演变。由于它具有高度有效的僵尸网络组件，也可以作为服务销售，所以恶意攻击者将继续设法规避检测并改善以欺骗网络安全中最薄弱环节——用户。

由于安全厂商已经针对了Necurs的传统感染链（脚本，宏或包含某些文件格式的压缩包），恶意软件已开始使用Internet快捷方式或.URL文件来绕过检测。

图1.先前版本的Necurs恶意软件图

图2.演变的Necurs恶意软件图

Internet快捷方式或.URL采取可点击图标的形式，是用于更快访问互联网网站或网页文档的对象。Internet快捷方式具有INI文件格式的内容，允许更改图标。恶意软件所需要的是通过改变文件夹图标来欺骗受害者，使受害者认为它是不同的文件类型。然后.URL将访问下载另一个下载器的远程资源。第二个下载器远程执行payload。

图3.伪装成语音邮件消息的.ZIP的.URL文件

注意，除了伪装成文件夹的图标之外，文件名还被制作成典型的文件夹名称，例如图2中所示的IMG-20180404-9AC4DD，SCN-20180404-268CC1和PIC-20180404-ADEEEE等等。

图4.Internet快捷方文件的屏幕截图

此外，实际附件归档不包含脚本下载程序(Necurs用于下载其payload )。.URL文件通过SMB协议来访问远程服务器，这样可能会成功避开某些垃圾邮件过滤器。

图5.通过SMB协议访问远程文件的屏幕截图

恶意软件没有停止伪装.URL文件。最新的Necurs变体在其附件中不再具有实际的脚本下载器。它只包含指向远程站点的Internet快捷方式，其中包含远程执行的脚本。这意味着它不会在受害者的机器上“下载”实际的脚本。这是最接近其以前的恶意垃圾邮件运行的方式：在电子邮件中附加URL并欺骗受害者点击链接以下载恶意文件。

图6.Necurs的附件

有趣的是，Necurs不会感染使用俄语作为语言的计算机。

深度进化: 使用QUANTLOADER 

以前，Necurs的JavaScript下载器会下载最终的payload。但在最新版本中，远程脚本下载QUANTLOADER（趋势科技检测为TROJ_QUANT）——不同的下载器——然后下载最终的payload。这是添加到Necurs感染链上的另一层。

QUANTLOADER的使用可能是双重的：首先，它在下载最终payload之前增加了另一个下载阶段，可能会混淆并逃避行为检测。其次，QUANTLOADER本质上是持久的——它会删除自身的副本并创建一个自动运行注册表，以便在启动时执行。

IoC