当前位置:新云网络软件教学工具软件识破用WinRAR捆绑的木马

识破用WinRAR捆绑的木马

减小字体 增大字体 作者:佚名  来源:个人电脑  发布时间:2007-1-1 2:46:45

  随着人们安全意识的提高,木马的生存越来越成为问题,木马种植者当然不甘心木马就这样被人所发觉,于是他们想出许多办法来伪装隐藏自己的行为,利用WinRAR捆绑木马就是其中的手段之一。那么我们怎么才能识别出其中藏有木马呢?本文讲述的正是这个问题。

  攻击者可以把木马和其他可执行文件,比方说Flash动画放在同一个文件夹下,然后将这两个文件添加到档案文件中,并将文件制作为exe格式的自释放文件,这样,当你双击这个自释放文件时,就会在启动Flash动画等文件的同时悄悄地运行木马文件!这样就达到了木马种植者的目的,即运行木马服务端程序。而这一招效果又非常好,令对方很难察觉到,因为并没有明显的征兆存在,所以目前使用这种方法来运行木马非常普遍。为戳穿这种伪装,了解其制作过程,做到知己知彼,下面我们来看一个实例。

  下面我们以一个实例来了解这种捆绑木马的方法。目标是将一个Flash动画(1.swf)和木马服务端文件(1.exe)捆绑在一起,做成自释放文件,如果你运行该文件,在显示Flash动画的同时就会中木马!具体方法是:把这两个文件放在同一个目录下,按住Ctrl键的同时用鼠标选中1.swf和1.exe,然后点击鼠标右键,在弹出菜单中选择“添加到档案文件”,会出现一个标题为“档案文件名字和参数”的对话框(图2),在该对话框的“档案文件名”栏中输入任意一个文件名,比方说暴笑三国.exe(只要容易吸引别人点击就可以)。注意,文件扩展名一定得是.exe(也就是将“创建自释放格式档案文件”勾选上),而默认情况下为.rar,要改过来才行,否则无法进行下一步的工作。

  



  



  接下来点击“高级”选项卡,然后单击“SFX选项”按钮(图3),会出现“高级自释放选项”对话框(图4),在该对话框的“释放路径”栏中输入C:\Windows\temp,其实“释放路径”可以随便填,就算你设定的文件夹不存在也没有关系,因为在自解压时会自动创建该目录。在“释放后运行”中输入1.exe,也就是填入攻击者打算隐蔽运行的木马文件的名字。

  



  

  

  下一步,请点击“模式”选项卡,在该选项卡中把“全部隐藏”和“覆盖所有文件”选上(图5),这样不仅安全,而且隐蔽,不易为人所发现。如果你愿意的话,还可以改变这个自释放文件的窗口标题和图标,点击“文字和图标”(图6),在该选项卡的“自释文件窗口标题”和“显示用于自释文件窗口的文本”中输入你想显示的内容即可,这样更具备欺骗性,更容易使人上当。最后,点击“确定”按钮返回到“档案文件名字和参数”对话框。   

  


  



  下面请你点击“注释”选项卡,你会看到如图所示的内容(图7),这是WinRAR根据你前面的设定自动加入的内容,其实就是自释放脚本命令。其中,C:\Windows\temp代表自解压路径,Setup=1.exe表示释放后运行1.exe文件即木马服务端文件。而Silent和Overwrite分别代表是否隐藏和覆盖文件,赋值为1则代表“全部隐藏”和“覆盖所有文件”。一般说来,给你下木马的人为了隐蔽起见,会修改上面的自释放脚本命令,比如他们会把脚本改为如下内容:

  



   Path=c:\windows\temp

   Setup=1.exe

   Setup=explorer.exe 1.swf

   Silent=1

   Overwrite=1   

  仔细看,其实就是加上了Setup=explorer.exe 1.swf这一行,点击“确定”按钮后就会生成一个名为暴笑三国.exe的自解压文件,现在只要有人双击该文件,就会打开1.swf这个动画文件,而当人们津津有味的欣赏漂亮的Flash动画时,木马程序1.exe已经悄悄地运行了!更可怕的是,还可以在WinRAR中就可以把自解压文件的默认图标换掉,如果换成你熟悉的软件的图标,对大家来说是不是更危险?

  利用WinRAR制作的自解压文件,不仅可以用来加载隐蔽的木马服务端程序,还可以用来修改对方的注册表。比方说,攻击者可以编写一个名为change.reg的文件。接下来用“实例”中的办法将这个文件制作成自解压文件,保存为del.exe文件即可。注意在制作过程中要在“注释”中写上如下内容:   

   Path=c:\Windows

   Setup=regedit /s change.reg

   Silent=1

   Overwrite=1   

  完成后按“确定”按扭,就会建立出一个名为del.exe的Winrar自解压程序,双击运行这个文件,将不会有导入注册表时的提示信息(这就是给regedit加上“/s”参数的原因)就修改了注册表键值,并把change.reg拷贝到C:\Windows文件夹下。此时你的注册表已经被修改了!不仅如此,攻击者还可以把这个自解压文件del.exe和木马服务端程序或硬盘炸弹等用WinRAR捆绑在一起,然后制作成自解压文件,那样对大家的威胁将更大!因为它不仅能破坏注册表,还会破坏大家的硬盘数据,想想看是不是很可怕?


个人电脑

[1] [2]  下一页

[数据载入中...] [返回上一页] [打 印]

文章评论评论内容只代表网友观点,与本站立场无关!