攻击者在不断寻找新的技术来传播恶意软件，最近研究人员发现一种通过iqy文件传播恶意软件的新方法。截止目前，已经发现有通过word文档、脚本文件、Java文件、IQY文件传播恶意软件的案例。

图1: 攻击链

IQY文件是一种Excel Web Query（excel web查询）文件，用于从互联网下载数据。其中含有通过网络进行查询所需的参数。感染源是垃圾邮件或鱼叉式钓鱼攻击活动，一般含有PDF或IQY附件，用于传播恶意软件。这些文件在攻击者传播FlawedAmmyy RAT（remote access trojan远程访问木马）时都用到了。

图2: 垃圾邮件

用户在收到含有PDF或iqy文件附件的垃圾邮件后，一旦点击pdf文件，就会出现打开嵌入的iqy文件的弹窗，如下图所示：

图3: PDF附带的iqy文件

Pdf附件中含有从pdf文件中导出iqy文件的脚本，exportDataObject函数会显示一个“open file”的对话框，保持用户参与文件导出的过程。函数还含有打开附件的输入参数。

这个例子中，importDataObject函数用于将iqy文件导入，并命名为13082016.iqy。下面是iqy文件中打开附件的代码：

this[exportDataObject] ({ cname: “13082016.iqy”, nLaunch:2})

cName参数是必须输入的，指定了需要导出的特定的文件附件。nLaunch的值为2，会将acrobat保存附件为临时文件，然后请求操作系统打开该文件。这就是代码打开pdf中的附件的原理。

 

图4: PDF文件中的脚本

在点击打开文件后，Excel会自动打开iqy文件，然后开启从文件中的URL处取回内容。但Excel不允许从服务器下载数据，所以会有安全检查，为了运行文件，需要点击enable。

 

图5: 安全检查

开启安全检查后，iqy文件会下载到受害者设备的%temp%目录，然后执行。下图是含有URL和参数的iqy文件示例。

 

图6: IQY文件

iqy文件执行后，会启用命令行开始一个Powershell进程。该过程运行powershell脚本无文件执行，如下图：

 

图7: PowerShell命令

PowerShell命令保存在excel文档的A0位置，并执行。然后执行一个powershell命令，命令会从脚本中的URL处下载一个字符串，并用IEX参数执行。

图8: PowerShell脚本

PowerShell脚本会下载和执行可执行文件—— FlawedAmmyy后门。FlawedAmmyy RAT从2016年开始活跃，含有常见后门的所有功能，包括远程控制机器、管理文件、截屏。该木马是利用Ammyy Admin远程桌面软件的version 3版本源码创建的，目前已经影响银行和汽车行业。

结论

攻击者在不断的寻找新的传播恶意软件的方法，IQY文件就是其中之一，所以应该尽早准备预防这类感染。用户在打开可疑邮件的附件时需要提高警惕。