一些別有用心的人曾利用WinRAR捆綁木馬入侵別人的電腦,獲取別人的隱私。沒想到,這種事筆者居然也碰上了,不過不是木馬入侵,而是被WinRAR自解壓文件破壞了Windows XP操作系統。
“喜”中中招
一天,,筆者收到一封陌生人的郵件,郵件附件附帶了一個名為“電腦技巧100招”的WinRAR自解壓格式文件。對於喜愛學習電腦技巧的筆者來說,當然是高興萬分,迫不及待地趕緊把它保存到桌面,在用瑞星進行常規殺毒確認無毒後打開文件,彈出一個自解壓對話框,筆者沒有注意細看,單擊“確定”釋放文件。這時,硬盤指示燈一陣狂閃,突然冒出一個如圖1所示的消息框。筆者頓感不妙,立即關機。重新開機,屏幕提示“因以下文件的損失或丟失,Windows無法啟動,system32hal.dll,請重新安裝以上文件的拷貝”。很顯然,電腦的系統文件遭到WinRAR自解壓文件的破壞,因此無法啟動,必須重新安裝操作系統。
“煩”中破招
無奈,筆者只好找出XP安裝光盤進行覆蓋安裝。經過半個多小時的等待,電腦又復活了。筆者認真查看了硬盤,幸好沒有發現其他文件丟失的現象。用瑞星查毒,也沒有發現病毒。看到桌面上的“電腦技巧100招.exe”文件筆者是又氣又恨,更多地是激發了筆者對它的興趣。
再次雙擊“電腦技巧100招.exe”文件,出現自解壓文件對話框(圖2),從對話框可以看出解壓的目標文件夾為系統文件夾。
難怪系統會出現問題,原來WinRAR將壓縮包裡的文件解壓到系統文件夾中了。是什麼文件功能竟如此強大,筆者想通過WinRAR軟件一探究竟。右擊該文件,在彈出菜單選擇“用WinRAR打開”項,打開WinRAR主程序窗口。筆者注意到,窗口左側僅列出了一個“電腦技巧100招.doc”的Word文檔。而窗口右側的幾行自解壓腳本命令引起了筆者的注意,代碼第三行就是Delete刪除命令,刪除解壓路徑下的所有文件(圖3),也正是這幾行代碼破壞了電腦操作系統。
這幾行代碼究竟是怎樣產生的呢?筆者對WinRAR軟件作了一番研究,終於找到了答案。
首先,在任意一個文件上右擊鼠標,選擇彈出菜單中的“添加到壓縮文件”,出現壓縮設置對話框。在常規選項中勾選“創建自解壓格式壓縮文件”。然後,切換至“高級”選項卡,單擊“自解壓選項”按鈕打開“高級自解壓選項”對話框。在對話框的常規選項卡的解壓路徑中輸入“C:Windows”,再切換至“高級”選項卡,你會發現第一個選項便是“刪除”,在此文本框中輸入“*.*”,確定。這樣,一個可以破壞Windows操作系統的WinRAR自解壓文件就創建完成。只要使用者不注意,在默認路徑中釋放了該文件,就跟筆者一樣中了圈套。
“樂”中支招
這種自解壓格式的WinRAR文件,只要取一個好文件名一般不會引起使用者的疑心,即使用殺毒軟件掃描也查不到病毒,隱蔽性極高。所以,比起病毒和木馬用戶更容易上當受騙。
不過,對付這種文件也不是一點辦法也沒有。只要注意了以下兩點,就可以杜絕此類現象再次發生。一不要輕意接收陌生人的郵件或QQ文件;二如果遇到“來歷不明”的WinRAR自解壓文件時,一定要用WinRAR軟件打開,查看文件是否包含自解壓腳本命令,確認沒有惡意腳本後再進行解壓使用。