下面请你点击“注释”选项卡,你会看到如图所示的内容(图7),这是WinRAR根据你前面的设定自动加入的内容,其实就是自释放脚本命令。其中,C:\Windows\temp代表自解压路径,Setup=1.exe表示释放后运行1.exe文件即木马服务端文件。而Silent和Overwrite分别代表是否隐藏和覆盖文件,赋值为1则代表“全部隐藏”和“覆盖所有文件”。一般说来,给你下木马的人为了隐蔽起见,会修改上面的自释放脚本命令,比如他们会把脚本改为如下内容:
Path=c:\windows\temp
Setup=1.exe
Setup=explorer.exe 1.swf
Silent=1
Overwrite=1
仔细看,其实就是加上了Setup=explorer.exe 1.swf这一行,点击“确定”按钮后就会生成一个名为暴笑三国.exe的自解压文件,现在只要有人双击该文件,就会打开1.swf这个动画文件,而当人们津津有味的欣赏漂亮的Flash动画时,木马程序1.exe已经悄悄地运行了!更可怕的是,还可以在WinRAR中就可以把自解压文件的默认图标换掉,如果换成你熟悉的软件的图标,对大家来说是不是更危险?
利用WinRAR制作的自解压文件,不仅可以用来加载隐蔽的木马服务端程序,还可以用来修改对方的注册表。比方说,攻击者可以编写一个名为change.reg的文件。接下来用“实例”中的办法将这个文件制作成自解压文件,保存为del.exe文件即可。注意在制作过程中要在“注释”中写上如下内容:
Path=c:\Windows
Setup=regedit /s change.reg
Silent=1
Overwrite=1
完成后按“确定”按扭,就会建立出一个名为del.exe的Winrar自解压程序,双击运行这个文件,将不会有导入注册表时的提示信息(这就是给regedit加上“/s”参数的原因)就修改了注册表键值,并把change.reg拷贝到C:\Windows文件夹下。此时你的注册表已经被修改了!不仅如此,攻击者还可以把这个自解压文件del.exe和木马服务端程序或硬盘炸弹等用WinRAR捆绑在一起,然后制作成自解压文件,那样对大家的威胁将更大!因为它不仅能破坏注册表,还会破坏大家的硬盘数据,想想看是不是很可怕?
从上面的实例中不难看出,WinRAR的自解压功能真的是太强大了,它能使得不会编程的人也能在短时间内制作出非常狠毒的恶意程序。而且对于含有木马或恶意程序的自解压文件,目前许多流行的杀毒软件和木马查杀软件竟无法查出其中有问题存在!不信的话,大家可以做个试验,就知道结果了。
那么该怎样识别用WinRAR捆绑过的木马呢?只要能发现自释放文件里面隐藏有多个文件,特别是多个可执行文件,就可以判定其中含有木马!那么怎样才能知道自释放文件中含有几个文件,是哪些文件呢?一个简单的识别的方法是:用鼠标右击WinRAR自释放文件,在弹出菜单中选择“属性”,在“属性”对话框中你会发现较之普通的EXE文件多出两个标签,分别是:“档案文件”和“注释”(图8),单击“注释”标签,看其中的注释内容,你就会发现里面含有哪些文件了,这样就可以做到心中有数,这是识别用WinRAR捆绑木马文件的最好方法。
最后再告诉大家一个防范方法,遇到自解压程序不要直接运行,而是选择右键菜单中的“用WinRAR打开”,这样你就会发现该文件中到底有什么了。
.分页: [1] [2]
- 上一篇:详解局域网中的ARP病毒清除方法
- 下一篇:详解网络安全措施失效的原因