今天朋
笔者便让朋友把那个文档通过QQ发了过来,发送的时候笔者在QQ显示文档名中发现了那个文档并不是gif文档,而是exe文档,文档名是:我的照片.gif.exe,并且他的图标也是图片文档的图标,见图1。笔者认为朋友的电脑应该打开了“隐藏已知文档类型的扩展名”(大家能够在“我的电脑”菜单中“工具→文档夹选项→查看→高级配置”中配置,见图2,所以告诉我后缀名是gif。笔者无意中右点了下这个文档,发现能够用“WinRAR打开”,于是笔者就用WinRAR打开了,发现里面含有两个文档——我的照片.gif和server.exe,能够肯定这server.exe就是木马,也就是朋友盗传奇世界号的罪魁祸首。
图 1
图 2
由于能够直接用WinRAR打开,笔者断定他就是由WinRAR制作的,现在笔者就开始解密他的制作过程。首先要有图片文档的ico(图标)文档(能够使用其他软件提取,笔者就不在这里讲述周详过程了),如图3。把图片文档和木马都选定,右点,选择“添加到档案文档”(WinRAR的选项),见图4,在“档案文档名”那输入压缩后的文档名,比如:我的照片.gif.exe,后缀假如为.exe就能够直接执行,假如不是.rar就会打开WinRAR,所以这里最后的后缀为.exe,根据自己的需要选择“压缩方式”,然后点击“高级”标签,选择“SFX 选项”,见图5,在“释放路径”中填入您需要解压的路径,笔者这里填的是“%systemroot%/temp”(不包括引号),表示解压缩到系统安装目录下的temp(临时文档)文档夹下,并且在“安装程式”的“释放后运行”输入“server.exe”(不包括引号),在“释放前运行”输入“我的照片.gif”(不包括引号)。
图 3
图 4
图 5
这样在解压缩前将会打开我的照片.gif这个文档,造成朋友对文档判断的假象,会认为他就是个图片文档,而释放完以后便会自动运行木马(即server.exe)。在“模式”标签的“缄默模式”中选择“全部隐藏”,“覆盖方式”中选择“覆盖任何文档”,在“文字和图标”标签的“自定义SFX图标”,载入刚才所准备的图片文档的ico文档,然后点击“确定”即可,这样即天衣无缝的制作了一个捆绑图片的木马。当打开这个文档时,会先运行图片文档,再自动打开木马文档,中间不会出现任何提示。
注:希望广大朋友不要进行非法用途,在这里解密木马捆绑是希望大家了解其原理。
朋友们看了《用WinRAR解析木马的捆绑》可能会有一个疑问:有时碰到的WinRAR自解压缩文档,自解压以后同时运行了多个文档(《用WinRAR解析木马的捆绑》一文中介绍的是自解压以后同时运行了一个文档。),比如有的木马运行了客户端,还会同时运行几个破坏程式,查杀起来也比较麻烦。
其实自解压以后同时运行了多个文档也很简单的。先按《用WinRAR解析木马的捆绑》一文制作以后,再在“档案文档名称和参数”对话框中,选择“注释”,然后输入:
Setup=a.exe
Setup=b.exe
Setup=c.exe
(不包含引号。如图。)。其中“a.exe”,“b.exe”,“c.exe”就是自解压缩以后同时运行的程式,但是他们必须在自解压缩文档包内。当然,也能够不是程式,任何文档都能够(比知:图像文档「.jpg,.gif.bmp」,动画文档「.swf」,文本文档「.txt」,网页文档「.htm,.html,.shtml」等等。)。当然也不限制同时运行文档的数量,只要您想运行多少就添加几个“Setup=”即可。点击“确定”即开始制作自解压缩文档。
其实也能够使多个文档(用快捷方式也不错哦!)合并为同一个自解压缩文档,但运行时只需运行一个自解压缩文档,却同时运行了多个文档,“懒人”能够试试哦,搞个恶作剧也不错哦。
