识破用WinRAR捆绑的木马

渔歌子

识破用WinRAR捆绑的木马                                        源自:pcpro.com.cn   


随着人们安全意识的提高，木马的生存越来越成为问题，木马种植者当然不甘心木马就这样被人所发觉，于是他们想出许多办法来伪装隐藏自己的行为，利用WinRAR捆绑木马就是其中的手段之一。那么我们怎么才能识别出其中藏有木马呢？本文讲述的正是这个问题。

攻击者可以把木马和其他可执行文件，比方说Flash动画放在同一个文件夹下，然后将这两个文件添加到档案文件中，并将文件制作为exe格式的自释放文件，这样，当你双击这个自释放文件时，就会在启动Flash动画等文件的同时悄悄地运行木马文件！这样就达到了木马种植者的目的，即运行木马服务端程序。而这一招效果又非常好，令对方很难察觉到，因为并没有明显的征兆存在，所以目前使用这种方法来运行木马非常普遍。为戳穿这种伪装，了解其制作过程，做到知己知彼，下面我们来看一个实例。


    下面我们以一个实例来了解这种捆绑木马的方法。目标是将一个Flash动画（1.swf）和木马服务端文件（1.exe）捆绑在一起，做成自释放文件，如果你运行该文件，在显示Flash动画的同时就会中木马！具体方法是：把这两个文件放在同一个目录下，按住Ctrl键的同时用鼠标选中1.swf和1.exe，然后点击鼠标右键，在弹出菜单中选择“添加到档案文件”，会出现一个标题为“档案文件名字和参数”的对话框（图2），在该对话框的“档案文件名”栏中输入任意一个文件名，比方说暴笑三国.exe（只要容易吸引别人点击就可以）。注意，文件扩展名一定得是.exe（也就是将“创建自释放格式档案文件”勾选上），而默认情况下为.rar，要改过来才行，否则无法进行下一步的工作。




接下来点击“高级”选项卡，然后单击“SFX选项”按钮（图3），会出现“高级自释放选项”对话框（图4），在该对话框的“释放路径”栏中输入C:\Windows\temp，其实“释放路径”可以随便填，就算你设定的文件夹不存在也没有关系，因为在自解压时会自动创建该目录。在“释放后运行”中输入1.exe，也就是填入攻击者打算隐蔽运行的木马文件的名字。




下一步，请点击“模式”选项卡，在该选项卡中把“全部隐藏”和“覆盖所有文件”选上（图5），这样不仅安全，而且隐蔽，不易为人所发现。如果你愿意的话，还可以改变这个自释放文件的窗口标题和图标，点击“文字和图标”（图6），在该选项卡的“自释文件窗口标题”和“显示用于自释文件窗口的文本”中输入你想显示的内容即可，这样更具备欺骗性，更容易使人上当。最后，点击“确定”按钮返回到“档案文件名字和参数”对话框。




下面请你点击“注释”选项卡，你会看到如图所示的内容（图7），这是WinRAR根据你前面的设定自动加入的内容，其实就是自释放脚本命令。其中，C:\Windows\temp代表自解压路径，Setup=1.exe表示释放后运行1.exe文件即木马服务端文件。而Silent和Overwrite分别代表是否隐藏和覆盖文件，赋值为1则代表“全部隐藏”和“覆盖所有文件”。一般说来，给你下木马的人为了隐蔽起见，会修改上面的自释放脚本命令，比如他们会把脚本改为如下内容：


  Path=c:\windows\temp
    Setup=1.exe
    Setup=explorer.exe 1.swf
    Silent=1
    Overwrite=1

    仔细看，其实就是加上了Setup=explorer.exe 1.swf这一行，点击“确定”按钮后就会生成一个名为暴笑三国.exe的自解压文件，现在只要有人双击该文件，就会打开1.swf这个动画文件，而当人们津津有味的欣赏漂亮的Flash动画时，木马程序1.exe已经悄悄地运行了！更可怕的是，还可以在WinRAR中就可以把自解压文件的默认图标换掉，如果换成你熟悉的软件的图标，对大家来说是不是更危险？
利用WinRAR制作的自解压文件，不仅可以用来加载隐蔽的木马服务端程序，还可以用来修改对方的注册表。比方说，攻击者可以编写一个名为change.reg的文件。接下来用“实例”中的办法将这个文件制作成自解压文件，保存为del.exe文件即可。注意在制作过程中要在“注释”中写上如下内容：

    Path=c:\Windows
    Setup=regedit /s change.reg
    Silent=1
    Overwrite=1

    完成后按“确定”按扭，就会建立出一个名为del.exe的Winrar自解压程序，双击运行这个文件，将不会有导入注册表时的提示信息（这就是给regedit加上“/s”参数的原因）就修改了注册表键值，并把change.reg拷贝到C:\Windows文件夹下。此时你的注册表已经被修改了！不仅如此，攻击者还可以把这个自解压文件del.exe和木马服务端程序或硬盘炸弹等用WinRAR捆绑在一起，然后制作成自解压文件，那样对大家的威胁将更大！因为它不仅能破坏注册表，还会破坏大家的硬盘数据，想想看是不是很可怕？

    从上面的实例中不难看出，WinRAR的自解压功能真的是太强大了，它能使得不会编程的人也能在短时间内制作出非常狠毒的恶意程序。而且对于含有木马或恶意程序的自解压文件，目前许多流行的杀毒软件和木马查杀软件竟无法查出其中有问题存在！不信的话，大家可以做个试验，就知道结果了。


那么该怎样识别用WinRAR捆绑过的木马呢？只要能发现自释放文件里面隐藏有多个文件，特别是多个可执行文件，就可以判定其中含有木马！那么怎样才能知道自释放文件中含有几个文件，是哪些文件呢？一个简单的识别的方法是：用鼠标右击WinRAR自释放文件，在弹出菜单中选择“属性”，在“属性”对话框中你会发现较之普通的EXE文件多出两个标签，分别是：“档案文件”和“注释”（图8），单击“注释”标签，看其中的注释内容，你就会发现里面含有哪些文件了，这样就可以做到心中有数，这是识别用WinRAR捆绑木马文件的最好方法。

    最后再告诉大家一个防范方法，遇到自解压程序不要直接运行，而是选择右键菜单中的“用WinRAR打开”，这样你就会发现该文件中到底有什么了。

痕迹

我就为WINRAR骗过一次
  所以在用RAR都会看有没有命令之内的
  虽然楼主说的我都知道，不过还是希望大家注意啊

づ真水无香づ

呵呵 谢谢啦！！

长白老妖

楼主说了一大堆，不就是看右键的属性注释或打开看吗？

如果捆绑了，不就看不出来了吗？
还是用捆绑软件客星查查才放心

♂冰风♀兴

顶了先。。。

redlinux

小心为上啊。。。

hzh686

看上去还是小心点的好～～～
谢谢楼主

flyjmu

学习一下 感谢楼主分享

lonelygrain

这好像用处不大，现在捆绑技术越来越高了

袁哥

学习一下/:010 /:010