JelusRAT

JelusRAT 是一种远程访问木马 (RAT)，它使网络犯罪分子能够秘密控制受感染的计算机。该木马使用 C++ 编写，依靠一个专门的加载器来解密并释放其主要有效载荷。与传统的文件安装方式不同，该恶意软件直接在内存中执行，从而显著减少了其在磁盘上的占用空间，并增加了检测难度。如果系统中检测到 JelusRAT，必须立即将其清除，以防止系统进一步受损。

伪装加载器和无文件执行

感染链始于一个伪装成合法应用程序的加载器。该组件隐藏了两个加密段：一个包含核心恶意软件，另一个存储配置数据。一旦激活，加载器会解密主有效载荷并将其直接加载到系统内存中，之后加载器会自行删除以清除痕迹。这种“无文件”技术专门用于绕过传统的安全防御和取证分析。

配置处理和隐蔽策略

执行后，主程序会访问名为 Info.ini 的配置文件以获取操作指令。读取文件后，它会立即将其删除，以最大程度地减少入侵痕迹。该文件中的数据经过混淆处理，恶意软件会利用位于第一个字节中的一个嵌入值来解码指令，然后再执行它们。

远程控制功能和命令处理

JelusRAT 旨在接收来自攻击者服务器的一系列命令。它可以将自身声明为关键系统进程，这意味着任何强制终止它的尝试都可能触发 Windows 蓝屏，从而有效地阻止手动移除。该恶意软件还可以禁用此功能，改变其与命令和控制基础设施的通信方式，或在收到指令后自行关闭。

基于插件的模块化平台

JelusRAT并非将所有恶意功能都集成在内部，而是主要以框架的形式运行。它可以从攻击者的服务器下载DLL插件形式的附加组件，从而按需扩展其功能。其大部分功能都通过这些模块实现，使得攻击者无需重新部署整个有效载荷即可根据不同的目标调整恶意软件。

JelusRAT 可用于植入其他类型的恶意软件，包括：

• 勒索软件、加密货币挖矿程序和信息窃取工具
• 加深或扩大系统入侵的其他恶意程序

为什么 JelusRAT 构成严重风险

JelusRAT 是一种隐蔽性强、高度灵活的威胁。它采用内存内执行、自删除机制和插件式设计，使其能够在逃避检测的同时，对受感染的系统保持持续且灵活的控制。这些特性使其格外危险，因为它很容易成为更具破坏性的恶意软件和大规模网络犯罪活动的发射平台。

常见感染媒介和传播方式

JelusRAT 等恶意软件最常通过社交工程和欺骗性网络手段传播。攻击者通常诱骗受害者运行伪装成合法内容的恶意文件，包括可执行文件、脚本以及 Word、Excel、PDF 或 ISO 镜像等文档格式。感染活动经常利用网络钓鱼邮件、虚假广告、技术支持诈骗、盗版软件和被入侵的网站来传播这些恶意程序。

其他已知的传播渠道包括受感染的U盘、点对点网络、第三方下载工具以及利用未修补的软件漏洞。在大多数情况下，感染成功是因为用户被诱骗执行某些操作，从而在不知不觉中为恶意软件提供了立足之地。