用WinRAR捆綁木馬技巧與防范

隨著人們安全意識的提高，木馬的生存越來越成為問題，木馬種植者當然不甘心木馬就這樣被人所發覺，於是他們想出許多辦法來偽裝隱藏自己的行為，利用WinRAR捆綁木馬就是其中的手段之一。那麼我們怎麼才能識別出其中藏有木馬呢？本文講述的正是這個問題。

攻擊者可以把木馬和其他可執行文件，比方說Flash動畫放在同一個文件夾下，然後將這兩個文件添加到檔案文件中，並將文件制作為exe格式的自釋放文件，這樣，當你雙擊這個自釋放文件時，就會在啟動Flash動畫等文件的同時悄悄地運行木馬文件！這樣就達到了木馬種植者的目的，即運行木馬服務端程序。而這一招效果又非常好，令對方很難察覺到，因為並沒有明顯的征兆存在，所以目前使用這種方法來運行木馬非常普遍。為戳穿這種偽裝，了解其制作過程，做到知己知彼，下面我們來看一個實例。

下面我們以一個實例來了解這種捆綁木馬的方法。目標是將一個Flash動畫（1.swf）和木馬服務端文件（1.exe）捆綁在一起，做成自釋放文件，如果你運行該文件，在顯示Flash動畫的同時就會中木馬！具體方法是：把這兩個文件放在同一個目錄下，按住Ctrl鍵的同時用鼠標選中1.swf和1.exe，然後點擊鼠標右鍵，在彈出菜單中選擇“添加到檔案文件”，會出現一個標題為“檔案文件名字和參數”的對話框，在該對話框的“檔案文件名”欄中輸入任意一個文件名，比方說暴笑三國.exe（只要容易吸引別人點擊就可以）。注意，文件擴展名一定得是.exe（也就是將“創建自釋放格式檔案文件”勾選上），而默認情況下為.rar，要改過來才行，否則無法進行下一步的工作。

接下來點擊“高級”選項卡，然後單擊“SFX選項”按鈕，會出現“高級自釋放選項”對話框，在該對話框的“釋放路徑”欄中輸入C:Windows emp，其實“釋放路徑”可以隨便填，就算你設定的文件夾不存在也沒有關系，因為在自解壓時會自動創建該目錄。在“釋放後運行”中輸入1.exe，也就是填入攻擊者打算隱蔽運行的木馬文件的名字。

下一步，請點擊“模式”選項卡，在該選項卡中把“全部隱藏”和“覆蓋所有文件”選上，這樣不僅安全，而且隱蔽，不易為人所發現。如果你願意的話，還可以改變這個自釋放文件的窗口標題和圖標，點擊“文字和圖標”，在該選項卡的“自釋文件窗口標題”和“顯示用於自釋文件窗口的文本”中輸入你想顯示的內容即可，這樣更具備欺騙性，更容易使人上當。最後，點擊“確定”按鈕返回到“檔案文件名字和參數”對話框。 下面請你點擊“注釋”選項卡，你會看到如圖所示的內容，這是WinRAR根據你前面的設定自動加入的內容，其實就是自釋放腳本命令。其中，C:Windows emp代表自解壓路徑，Setup=1.exe表示釋放後運行1.exe文件即木馬服務端文件。而Silent和Overwrite分別代表是否隱藏和覆蓋文件，賦值為1則代表“全部隱藏”和“覆蓋所有文件”。一般說來，給你下木馬的人為了隱蔽起見，會修改上面的自釋放腳本命令，比如他們會把腳本改為如下內容：

　 Path=c:windows emp 　　Setup=1.exe 　　Setup=explorer.exe 1.swf 　　Silent=1 　　Overwrite=1

仔細看，其實就是加上了Setup=explorer.exe 1.swf這一行，，點擊“確定”按鈕後就會生成一個名為暴笑三國.exe的自解壓文件，現在只要有人雙擊該文件，就會打開1.swf這個動畫文件，而當人們津津有味的欣賞漂亮的Flash動畫時，木馬程序1.exe已經悄悄地運行了！更可怕的是，還可以在WinRAR中就可以把自解壓文件的默認圖標換掉，如果換成你熟悉的軟件的圖標，對大家來說是不是更危險？ 利用WinRAR制作的自解壓文件，不僅可以用來加載隱蔽的木馬服務端程序，還可以用來修改對方的注冊表。比方說，攻擊者可以編寫一個名為change.reg的文件。接下來用“實例”中的辦法將這個文件制作成自解壓文件，保存為del.exe文件即可。注意在制作過程中要在“注釋”中寫上如下內容：

　　Path=c:Windows 　　Setup=regedit /s change.reg 　　Silent=1 　　Overwrite=1

完成後按“確定”按扭，就會建立出一個名為del.exe的Winrar自解壓程序，雙擊運行這個文件，將不會有導入注冊表時的提示信息（這就是給regedit加上“/s”參數的原因）就修改了注冊表鍵值，並把change.reg拷貝到C:Windows文件夾下。此時你的注冊表已經被修改了！不僅如此，攻擊者還可以把這個自解壓文件del.exe和木馬服務端程序或硬盤炸彈等用WinRAR捆綁在一起，然後制作成自解壓文件，那樣對大家的威脅將更大！因為它不僅能破壞注冊表，還會破壞大家的硬盤數據，想想看是不是很可怕？ 從上面的實例中不難看出，WinRAR的自解壓功能真的是太強大了，它能使得不會編程的人也能在短時間內制作出非常狠毒的惡意程序。而且對於含有木馬或惡意程序的自解壓文件，目前許多流行的殺毒軟件和木馬查殺軟件竟無法查出其中有問題存在！不信的話，大家可以做個試驗，就知道結果了。 那麼該怎樣識別用WinRAR捆綁過的木馬呢？只要能發現自釋放文件裡面隱藏有多個文件，特別是多個可執行文件，就可以判定其中含有木馬！那麼怎樣才能知道自釋放文件中含有幾個文件，是哪些文件呢？一個簡單的識別的方法是：用鼠標右擊WinRAR自釋放文件，在彈出菜單中選擇“屬性”，在“屬性”對話框中你會發現較之普通的EXE文件多出兩個標簽，分別是：“檔案文件”和“注釋”，單擊“注釋”標簽，看其中的注釋內容，你就會發現裡面含有哪些文件了，這樣就可以做到心中有數，這是識別用WinRAR捆綁木馬文件的最好方法。

最後再告訴大家一個防范方法，遇到自解壓程序不要直接運行，而是選擇右鍵菜單中的“用WinRAR打開”，這樣你就會發現該文件中到底有什麼了。