利用WinRAR來捆綁木馬2貼<轉貼系列之三>

主題1，識破用WinRAR捆綁的木馬

隨著人們安全意識地提高，木馬的生存越來越成為問題，木馬種植者當然不甘心木馬就這樣被人所發覺，於是他們想出許多辦法來偽裝隱藏自己的行為，利用WinRAR捆綁木馬就是其中的手段之一。那麼我們怎麼才能識別出其中藏有木馬呢？本文講述的正是這個問題。

攻擊者可以把木馬和其他可執行檔案，比方說Flash動畫放在同一個資料夾下，然後將這兩個檔案新增到檔案檔案中，並將檔案製作為exe格式的自釋放檔案，這樣，當你雙擊這個自釋放檔案時，就會在啟動Flash動畫等檔案的同時悄悄地執行木馬檔案！這樣就達到了木馬種植者的目的，即執行木馬服務端程式。而這一招效果又非常好，令對方很難察覺到，因為並沒有明顯的徵兆存在，所以目前使用這種方法來執行木馬非常普遍。為戳穿這種偽裝，瞭解其製作過程，做到知己知彼，下面我們來看一個例項。

下面我們以一個例項來了解這種捆綁木馬的方法。目標是將一個Flash動畫（1。swf）和木馬服務端檔案（1。exe）捆綁在一起，做成自釋放檔案，如果你執行該檔案，在顯示Flash動畫的同時就會中木馬！具體方法是：把這兩個檔案放在同一個目錄下，按住Ctrl鍵的同時用滑鼠選中1。swf和1。exe，然後點選滑鼠右鍵，在彈出選單中選擇“新增到檔案檔案”（圖1），會出現一個標題為“檔案檔名字和引數”的對話方塊，在該對話方塊的“檔案檔名”欄中輸入任意一個檔名，比方說暴笑三國。exe（只要容易吸引別人點選就可以）。注意，副檔名一定得是。exe（也就是將“建立自釋放格式檔案檔案”勾選上），而預設情況下為。rar，要改過來才行，否則無法進行下一步的工作（圖2）

（圖1）

（圖2）

接下來點選“高階”選項卡，然後單擊“SFX選項”按鈕（圖3），會出現“高階自釋放選項”對話方塊，在該對話方塊的“釋放路徑”欄中輸入C：\Windows\temp（圖4），其實“釋放路徑”可以隨便填，就算你設定的資料夾不存在也沒有關係，因為在自解壓時會自動建立該目錄。在“釋放後執行”中輸入1。exe，也就是填入攻擊者打算隱蔽執行的木馬檔案的名字。

（圖3）

（圖4）

下一步，請點選“模式”選項卡，在該選項卡中把“全部隱藏”和“覆蓋所有檔案”選上（圖5），這樣不僅安全，而且隱蔽，不易為人所發現。如果你願意的話，還可以改變這個自釋放檔案的視窗標題和圖示，點選“文字和圖示”（圖6），在該選項卡的“自釋檔案視窗標題”和“顯示用於自釋檔案視窗的文字”中輸入你想顯示的內容即可，這樣更具備欺騙性，更容易使人上當。最後，點選“確定”按鈕返回到“檔案檔名字和引數”對話方塊。

（圖5）

（圖6）

下面請你點選“註釋”選項卡，你會看到如圖所示的內容（圖7），這是WinRAR根據你前面的設定自動加入的內容，其實就是自釋放指令碼命令。其中，C：\Windows\temp代表自解壓路徑，Setup=1。exe表示釋放後執行1。exe檔案即木馬服務端檔案。而Silent和Overwrite分別代表是否隱藏和覆蓋檔案，賦值為1則代表“全部隱藏”和“覆蓋所有檔案”。一般說來，給你下木馬的人為了隱蔽起見，會修改上面的自釋放指令碼命令，比如他們會把指令碼改為如下內容：

（圖7）

Path=c：\windows\temp

Setup=1。exe

Setup=explorer。exe 1。swf

Silent=1

Overwrite=1

仔細看，其實就是加上了Setup=explorer。exe 1。swf這一行，點選“確定”按鈕後就會生成一個名為暴笑三國。exe的自解壓檔案，現在只要有人雙擊該檔案，就會開啟1。swf這個動畫檔案，而當人們津津有味的欣賞漂亮的Flash動畫時，木馬程式1。exe已經悄悄地運行了！更可怕的是，還可以在WinRAR中就可以把自解壓檔案的預設圖示換掉，如果換成你熟悉的軟體的圖示，對大家來說是不是更危險？

利用WinRAR製作的自解壓檔案，不僅可以用來載入隱蔽的木馬服務端程式，還可以用來修改對方的登錄檔。比方說，攻擊者可以編寫一個名為change。reg的檔案。接下來用“例項”中的辦法將這個檔案製作成自解壓檔案，儲存為del。exe檔案即可。注意在製作過程中要在“註釋”中寫上如下內容：

Path=c：\Windows

Setup=regedit /s change。reg

Silent=1

Overwrite=1

完成後按“確定”按鈕，就會建立出一個名為del。exe的Winrar自解壓程式，雙擊執行這個檔案，將不會有匯入登錄檔時的提示資訊（這就是給regedit加上“/s”引數的原因）就修改了登錄檔鍵值，並把change。reg複製到C：\Windows資料夾下。此時你的登錄檔已經被修改了！不僅如此，攻擊者還可以把這個自解壓檔案del。exe和木馬服務端程式或硬碟炸彈等用WinRAR捆綁在一起，然後製作成自解壓檔案，那樣對大家的威脅將更大！因為它不僅能破壞登錄檔，還會破壞大家的硬碟資料，想想看是不是很可怕？

從上面的例項中不難看出，WinRAR的自解壓功能真的是太強大了，它能使得不會程式設計的人也能在短時間內製作出非常狠毒的惡意程式。而且對於含有木馬或惡意程式的自解壓檔案，目前許多流行的防毒軟體和木馬查殺軟體竟無法查出其中有問題存在！不信的話，大家可以做個試驗，就知道結果了。

那麼該怎樣識別用WinRAR捆綁過的木馬呢？只要能發現自釋放檔案裡面隱藏有多個檔案，特別是多個可執行檔案，就可以判定其中含有木馬！那麼怎樣才能知道自釋放檔案中含有幾個檔案，是哪些檔案呢？一個簡單的識別的方法是：用滑鼠右擊WinRAR自釋放檔案，在彈出選單中選擇“屬性”，在“屬性”對話方塊中你會發現較之普通的EXE檔案多出兩個標籤，分別是：“檔案檔案”和“註釋”（圖8），單擊“註釋”標籤，看其中的註釋內容，你就會發現裡面含有哪些檔案了，這樣就可以做到心中有數，這是識別用WinRAR捆綁木馬檔案的最好方法。

（圖8）

最後再告訴大家一個防範方法，遇到自解壓程式不要直接執行，而是選擇右鍵選單中的“用WinRAR開啟”，這樣你就會發現該檔案中到底有什麼了。

主題2，用WinRAR解析木馬的捆綁原理

今天朋友突然向我求救，說網路遊戲傳奇世界的號被盜了，由於朋友是在家上網，排除了在公共場所帳號和密碼被別他人瞟視的可能。據朋友所說，在被盜的前一個多小時，在網上下載了一個網友的照片，並開啟瀏覽器，但是出現的確實是網友的照片，並且是用“Windows圖片和傳真檢視器”（朋友家是XP系統）開啟的，這也可以肯定一定是圖片檔案。朋友還告訴筆者字尾名是。gif，很顯然是圖片檔案，朋友的電腦也沒有安裝防毒軟體，並且最重要的是那個檔案還沒有刪。

筆者便讓朋友把那個檔案透過QQ發了過來，傳送的時候筆者在qq顯示檔名中發現了那個檔案並不是gif檔案，而是exe檔案，檔名是：我的照片。gif。exe，並且它的圖示也是圖片檔案的圖示，見圖1。筆者認為朋友的電腦應該打開了“隱藏已知檔案型別的副檔名”（大家可以在“我的電腦”選單中“工具→資料夾選項→檢視→高階設定”中設定，見圖2，所以告訴我字尾名是gif。筆者無意中右點了下這個檔案，發現可以用“WinRAR開啟”，於是筆者就用WinRAR打開了，發現裡面含有兩個檔案——我的照片。gif和server。exe，可以肯定這server。exe就是木馬，也就是朋友盜傳奇世界號的罪魁禍首。

圖一

圖二

由於可以直接用WinRAR開啟，筆者斷定它就是由WinRAR製作的，現在筆者就開始解密它的製作過程。首先要有圖片檔案的ico（圖示）檔案（可以使用其他軟體提取，筆者就不在這裡講述詳細過程了），如圖3。把圖片檔案和木馬都選定，右點，選擇“新增到檔案檔案”（WinRAR的選項），見圖4，在“檔案檔名”那輸入壓縮後的檔名，比如：我的照片。gif。exe，字尾如果為。exe就可以直接執行，如果不是。rar就會開啟WinRAR，所以這裡最後的字尾為。exe，根據自己的需要選擇“壓縮方式”，然後點選“高階”標籤，選擇“SFX選項”，見圖5，在“釋放路徑”中填入你需要解壓的路徑，筆者這裡填的是“%systemroot%\temp”（不包括引號），表示解壓縮到系統安裝目錄下的temp（臨時檔案）資料夾下，並且在“安裝程式”的“釋放後執行”輸入“server。exe”（不包括引號），在“釋放前執行”輸入“我的照片。gif”（不包括引號）。

圖三

圖四

圖五

這樣在解壓縮前將會開啟我的照片。gif這個檔案，造成朋友對檔案判斷的假象，會認為它就是一個圖片檔案，而釋放完以後便會自動執行木馬（即server。exe）。在“模式”標籤的“緘默模式”中選擇“全部隱藏”，“覆蓋方式”中選擇“覆蓋所有檔案”，在“文字和圖示”標籤的“自定義SFX圖示”，載入剛才所準備的圖片檔案的ico檔案，然後點選“確定”即可，這樣即天衣無縫的製作了一個捆綁圖片的木馬。當開啟這個檔案時，會先執行圖片檔案，再自動開啟木馬檔案，中間不會出現任何提示。

注：希望廣大朋友不要進行非法用途，在這裡解密木馬捆綁是希望大家瞭解其原理。

主題3，用WinRAR解析木馬的捆綁-補遺

朋友們看了《用WinRAR解析木馬的捆綁》可能會有一個疑問：有時遇到的WinRAR自解壓縮檔案，自解壓以後同時運行了多個檔案（《用WinRAR解析木馬的捆綁》一文中介紹的是自解壓以後同時運行了一個檔案。），比如有的木馬運行了客戶端，還會同時執行幾個破壞程式，查殺起來也比較麻煩。

其實自解壓以後同時運行了多個檔案也很簡單的。先按《用WinRAR解析木馬的捆綁》一文製作以後，再在”檔案檔名稱和引數”對話方塊中，選擇”註釋”，然後輸入：

Setup=a。exe

Setup=b。exe

Setup=c。exe

（不包含引號。如圖。）。其中”a。exe”，”b。exe”，”c。exe”就是自解壓縮以後同時執行的程式，但是它們必須在自解壓縮檔案包內。當然，也可以不是程式，任何檔案都可以（比如：影象檔案「。jpg，。gif．bmp」，動畫檔案「。swf」，文字檔案「。txt」，網頁檔案「。htm，。html，。shtml」等等。）。當然也不限制同時執行檔案的數量，只要你想執行多少就新增幾個”Setup=”即可。點選”確定”即開始製作自解壓縮檔案。