[zt]安全评论：WinRar也是双刃剑

　　　　作者: 甘肃老五, 　出处:IT专家网,　责任编辑: 张帅,　2008-04-16 00:01　　
　　双刃剑伤人，当然使用不当也会伤己，关键看它掌握在谁的手里，怎么使用。WinRar是大家使用最频繁的压缩、解压软件，它几乎进驻了所有的系统。正是由于它的通用性、普遍性，它成了恶意攻击者手中的一款利器。下面笔者列举两个攻击者利用WinRar进行恶意攻击的实例，看看它是如何成为黑客帮凶的。
一、WinRar挂马
1、实例演示
　　在我们的印象中挂马一般都是在网页中嵌入恶意代码，浏览者通过浏览器浏览是然后中招。WinRar也可以挂马，我们看攻击者是怎么做的?
　　第一步：新建一个文本文件，比如lw.txt。在该文件上点击右键选择“添加到压缩文件”，打开如图1所示的窗口，在“压缩选项”中勾选“创建自解压格式压缩文件”选项。

图1
　　第二步：点击图1中的“高级”选项卡，在打开窗口中点击“自解压选项”按钮，在“高级自解压选项”窗口中点击“文本和图标”选项卡如图2。由于“自解压文件窗口中显示的文本”支持html脚本，因此我们就可以在其下的文本框中输入跨站代码进行挂马。

图2
　　第三步：在文本框中输入如图2代码点击“确定”按钮即可。
　　提示：第一行弹出一个对话框(实际攻击中会省略，我们因为是演示才加了)，第二行是打开IT专家网安全子网的页面，攻击者往往会嵌入一个具有恶意代码的页面URL。
　　第四步：双击打开lw.exe文件，弹出一个对话框，确定后在WinRar中打开了相关的页面，跨站成功如图3。

图3
　　小结：WinRar挂马的安全威胁比较大，因为它是我们常用的解压工具，稍微不留意就会中招。同时它支持的脚本比较多，攻击者可以利用其他更隐蔽的挂马脚本。
2、预防技巧
　　(1).不要直接双击打开后缀为exe的压缩文件，安全的做法是先打开WinRar，然后通过它打开该压缩文件。如果压缩包中加入了恶意脚本就会在其右边的窗格中显示出来。当然也可以点击任务栏中的“信息”按钮，在打开的窗口中点击“注释”选项卡，所有的脚本都会显示出来如图4。

图4
　　(2).安装防火墙，因为WinRar自解压文件中被嵌入了挂马代码其就会进行网络连接，这是防火墙就会弹出是否允许网络连接的对话框如图5，这就非常可疑。

图5
二、WinRar绑马
　　WinRar绑马和上面的挂马原理差不多，都是利用了WinRar的自解压功能在其中嵌入恶意代码，让压缩包中的木马运行。
1、实例演示
　　第一步：准备好的木马程序和正常的程序或者图片文件，按照实例一第一步的操作把它们添加到自解压包中。根据自己的需要选择“压缩方式”，然后点击“高级”标签，选择“SFX　选项”，在“释放路径”中填入你需要解压的路径，这里填的是“%systemroot%/temp”(不包括引号)，表示解压缩到系统安装目录下的 temp(临时文件)文件夹下。在“解压后运行”中输入正常的程序(记事本)，在“解压前运行”中输入你的木马程序名(测试中一个简单的对话框弹出小程序 lw.exe)如图6。

图6
　　第二步：点击“模式”选项卡，在打开的窗口中勾选“全部隐藏”和“覆盖所有文件”选项如图7，以增强容错性，最后点击“确定”即可。

图7
　　第三步：双击运行该自解压程序，正常的程序notepand.exe和测试程序lw.exe依次运行，如图8。

图8
　　提示：除了上面的方法为，攻击者一般都通过脚本代码来达到在WinRar中捆绑木马达到其目的。其中关键代码如下：
Path=%systemroot%
　　Setup=lw.exe
　　Presetup=notepad.exe
　　Silent=1
　　Overwrite=1
　　第一行是文件的解压路径，在系统根目录下;第二行是解压后自动运行lw.exe;第三行是在解压之前先运行notepad.exe，达到掩人耳目;第四行是隐藏文件，达到更隐蔽;第五行是覆盖目录下的同名文件，以容错更可靠。
2、防范技巧
　　(1).上面防挂马的第一条相同，就是用WinRar打开自解压包
　　(2).在遇到后缀为exe的自解压包前一定先用杀毒软件对其进行查毒，确定无毒后再用WinRar打开。
　　(3).通过一些诸如“捆绑分离器”的软件进行压缩包的分离，把正常的程序和木马分离出来。
三、WinRar欺骗
1、实例演示
　　通过上面的方法制作的自解包有两个明显的缺陷：1.尽管文件后缀为exe但是文件图标却是WinRar的，隐蔽性不够;2.单击文件右键就会显示与WinRar相关的项目如图9。于是攻击者对其从两个方面进行隐蔽欺骗。

图9
　　(1).文件图标欺骗：在图10中点击“从文件加载自解压文件图标”下的“浏览”按钮，选择一个比较有欺骗性的图标文件(比如QQ游戏图标)最后点击“确定”即可。

图10
　　(2).右键欺骗：
　　第一步：利用UltraEdit-32或者C32Asm等编辑器打开做好的自解压程序，然后通过查找功能找到二进制526172211A07，把61改成其他的数字，比如62，再搜索807A0161，把61改成之前改的值，这里改成62如图11。

图11
　　第二步：保存修改后的文件，点击右键查看果然右键中的WinRar相关选项只剩下一项如图12和其他程序没有任何区别。

图12
　　第三步：进行程序测试(笔者捆绑了一个灰鸽子的服务端)，把该文件移动到一虚拟机双击运行，稍等片刻灰鸽子控制端提示有主机上线如图13。

图13
2、防范措施
　　对于经过改造的WinRar自解压文件，上面两例中的方法一肯定无效。那只能通过用户个人提高安全意识，洁身自律不去下载运行没有安全保障的软件。当然，及时更新病毒库用杀软杀毒是非常必要的。
总结：上面列举的攻击实例是当前黑客常用的WinRar攻击方法，笔者要说的是，WinRar本无罪，关键是它被攻击者利用。作为WinRar的用户，当然没有必要因噎废食而放弃它。其实，我们只要理解了攻击原理，提高警惕掌握一定的技巧就可以有效防范类似的来自常用软件的攻击。