WinRAR与木马结合的新安全隐患解析 - 爱国者安全网新闻中心

压缩文件是最见的文件类型之一，无论是正常的软件程序，或者是“精心”制作的压缩包木马，都随处可见。对于这类最常见的文件，我们当然会想方设法，让它为我们传播木马服务。不过，普通的压缩包中夹带木马的方法已经有些落伍了，今天我们将重点分析一种WinRAR压缩包传播木马的新思路！

大家都知道WinRAR软件可以制作EXE自解压文件，以方便没有安装WinRAR软件的用户。WinRAR制作的自解压文件非常常见，而且不少软件也开始采用它来制作安装程序。用WinRAR制作自解压文件时，还可以对自解压界面进行自定义美化，在自解压时显示任意的文件或图片。我们可以通过对WinRAR自解压文件界面的再定义，从而欺骗对方在解压前执行网页木马。

首先，我们需要制作一个WinRAR自解压文件。可以将任意资源，比如几张图片或音乐之类的打包压缩成RAR格式。然后用WinRAR打开压缩包，点击WinRAR工具栏上的“自解压”按钮，打开自解压文件制作对话框。在“自解压模块”中选择“Deault.sfx”模块，点击“高级自解压选项”按钮，打开高级自解压选项设置对话框。选择“文本和图标”选项卡，在下面的“自解压文件窗口中显示的文本”区里，可以输人任意文字，都将显示在自解压界面中。如果我们输入网页代码，是否会执行呢？

这段代码常常被用来检测跨站漏洞，如果存在漏洞的话，那么在网页中会弹出一个文字提示对话框。点击“确定”按钮，返回自解压对话框，再点击“确定”按钮，即可在压缩包文件路径下，生成一个同名的后缀为.exe的自解压文件。现在，我们来双击这个自解压文件，看看前面的跨站检测代码是否执行？自解压文件打开后，同时弹出了刚才设置的文字提示对话框，说明网页代码执行了。

现在，我们来制作一个具有挂马攻击性的WinRAR自解压文件。首先，准备一个网页木马，并将其上传到某个网站空间中去。这里假设网页木马链接地址为“http://www.XXX.com/01.htm”。然后制作一个自解压文件，方法与前面相同，但是在写入文本框中，我们需要输入如下代码：

这段代码表示显示一个长宽都为0网页象素，也就是不可见的页面框架，显示的网页内容为指定的木马网页。确定后即可制作成功一个挂马攻击的WinRAR自解压文件了。但是这里为了便于抓图显示攻击效果，我们将挂马语句改为了：

四、挂马自解压包的不足

虽然用上面的方法制作出来的WinRAR自解压木马，在攻击时可以没有任何症状，但是还是有缺陷的。首先，使用代码隐藏挂马，虽然不会显示木马网页，但是界面中变成空白页面，不会显示默认的提示信息。另外，所有制作的带有脚本的自解压文件，在其“属性”中都会多出“注释”选项卡，即使是不带攻击性的自解压文件也是如此。我们用右键点击刚才制作的自解压文件，在弹出菜单中选择“属性”命令，打开属性对话框。选择“注释”选项页，如此一来，就会暴露在创建自解压格式压缩文件时设置的挂马代码了。

五、木马保护更强悍

那么，如何才能让隐藏注释信息，让挂马攻击的自解压包文件更完美呢？其实，自解压文件的“注释”信息，来源于WinRAR中的“Deault.sfx”自解压模块。我们完全可以修改此模块，让自解压文件不显示“注释”信息。

在WinRAR安装目录下，可以找到模块文件“Deault.sfx”。在修改前，可用Peid查壳，发现文件加了UPX壳，用UPX Shell对其脱壳即可。

下载安装“eXeScope资源修改器”，用eXeScope打开“Deault.sfx”文件。在eXeScope左边的列表中，展开“资源”→“字符串表”→“l0”→“中文（中国）”，在右边列表出现的150到155的字符串为默认自解压文件的自解压文件窗口中显示的文本代码，每行字串长度不能超过250个英文字符。我们可进行修改，以达到隐藏挂马的目的，在155行代码的最后添加如下挂马代码：

WinRAR与木马结合的新安全隐患解析

修改完毕后，关闭eXeScope，保存更新“Deault.sfx”文件。然后直接创建一个WinRAR自解压文件，无需在其中添加挂马代码了，此时创建和自解压文件中自动显示了挂马网页（如图11）。但是在文件属性中，却根本看不到“注释”选项页，这样就实现了隐藏“注释”信息。如果我们挂马框架长宽为0的话，在自解压界面中显示的是“单击安装按钮开始解压……”之类的默认信息，也不会出现前面的空白页。

这样，一个极度完美的WinRAR自解压木马便制作成功了！你能找出它与普通自解压文件有什么不同吗？