用WinRAR解密木馬元件服務的原理

[psac]

　　今天朋友突然想我求救，說網路遊戲傳奇世界的號被盜了，由於朋友是在家上網，排除了在公共場所帳號和密碼被別他人瞟視的可能。據朋友所說，在被盜的前一個多小時，在網上下載了一個網友的照片，並開啟瀏覽了，但是出現的確實是網友的照片，並且是用「Windows　圖片和傳真檢視器」（朋友家是XP系統）開啟的，這也可以肯定一定是圖片文件。朋友還告訴筆者後面名是.gif，很顯然是圖片文件，朋友的電腦也沒有安裝殺毒軟體，並且最重要的是那個文件還沒有刪。

　筆者便讓朋友把那個文件通過ＱＱ發了過來，傳送的時候筆者在ＱＱ顯示檔案名中發現了那個文件並不是gif文件，而是exe文件，檔案名是：我的照片.gif.exe，並且它的圖示也是圖片文件的圖示，見圖1。筆者認為朋友的電腦應該開啟了「隱藏已知檔案類型的副檔名」（大家可以在「我的電腦」表單中「工具→資料夾選項→檢視→進階設定」中設定，見圖2，所以告訴我後面名是gif。筆者無意中右點了下這個文件，發現可以用「WinRAR開啟」，於是筆者就用WinRAR開啟了，發現裡面含有兩個文件——我的照片.gif和server.exe，可以肯定這server.exe就是木馬，也就是朋友盜傳奇世界號的罪魁禍首。



圖 1



圖 2


　　由於可以直接用WinRAR開啟，筆者斷定它就是由WinRAR製作的，現在筆者就開始解密它的製作程序。首先要有圖片文件的ico（圖示）文件（可以使用其他軟體提取，筆者就不在這裡講述詳細程序了），如圖3。把圖片文件和木馬都選定，右點，選項「增加到檔案文件」（WinRAR的選項），見圖4，在「檔案檔案名」那輸入壓縮後的檔案名，比如：我的照片.gif.exe，後面如果為.exe就可以直接執行，如果不是.rar就會開啟WinRAR，所以這裡最後的後面為.exe，根據自己的需要選項「壓縮方式」，然後點擊「進階」標籤，選項「SFX　選項」，見圖5，在「釋放路徑」中填入你需要解壓的路徑，筆者這裡填的是「%systemroot%\temp」（不包括引號），表示解壓縮到系統安裝目錄下的temp（臨時文件）資料夾下，並且在「安裝程序」的「釋放後執行」輸入「server.exe」（不包括引號），在「釋放前執行」輸入「我的照片.gif」（不包括引號）。




圖 3



圖 4



圖 5



　　這樣在解壓縮前將會開啟我的照片.gif這個文件，造成朋友對文件判斷的假象，會認為它就是一個圖片文件，而釋放完以後便會自動執行木馬（即server.exe）。在「模式」標籤的「緘默模式」中選項「全部隱藏」，「覆蓋方式」中選項「覆蓋所有文件」，在「文字和圖示」標籤的「自訂SFX圖示」，載入剛才所準備的圖片文件的ico文件，然後點擊「確定」即可，這樣即天衣無縫的製作了一個元件服務圖片的木馬。當開啟這個文件時，會先執行圖片文件，再自動開啟木馬文件，中間不會出現任何提示。

　　註：希望廣大朋友不要進行非法用途，在這裡解密木馬元件服務是希望大家瞭解其原理。

[herowin]

謝謝告知

以後要看別人寄的相片時要都注意嚕

謝謝分享~~

[psac]

【檔案名稱】：WINRAR FAKER偽裝壓縮檔成圖片
【檔案格式】：rar
【檔案大小】：221kb
【程式語言】：不詳
【有效期限】：直到載點掛掉
【軟體簡介】：
利用WINRAR FAKER偽裝壓縮檔成圖片
1.打開FAKER，選擇壓縮檔偽裝，並且選擇單檔，最後點瀏覽

2.選擇要偽裝成目標照片的檔案

3.選擇剛才所分割的檔案資料夾，最後把要偽裝的檔案點選起來

4.點選單檔偽裝

5.有看到OK和多出了11個圖片檔就成功了

6.檢查檔案是否成功的偽裝了

7.以下為成功的偽裝


【軟體下載】：
http://ms1.nihs.tp.edu.tw/~s201424/RAR%20Faker.rar

給你個蒙面間諜專殺

附件:


在新浪網上看到的,大家也注意一下,
這裡給個趨勢供的專殺,趨勢專殺下載(新浪下)
看詳情:請點擊以下:
http://tech.sina.com.cn/s/s/2005-05-12/1135605602.shtml


附件使用的檔案名如：女孩們、愛情、音樂、照片、螢幕保護程式等等，後面緊跟著一個假的doc,jpg,txt等副檔名，而在精心設計的多個空格後才是真的scr可執行文件副檔名。例如：「message.txt .scr」，如果用戶不仔細看，會誤認為是「message.txt」，一個純文本文件，從而放鬆了警惕，掉入病毒的圈套。

[微微的風]

嗯~謝謝告知~
我會注意..