用WinRAR解析木马病毒的捆绑原理[多图]

原创 2004年09月24日 09:46:00

    www.rising.com.cn  2004-9-23 10:04:00  信息源:天极网 作者:陈程
      今天朋友突然想我求救,说网络游戏传奇世界的号被盗了,由于朋友是在家上网,排除了在公共场所帐号和密码被别他人瞟视的可能。据朋友所说,在被盗的前一个多小时,在网上下载了一个网友的照片,并打开浏览了,但是出现的确实是网友的照片,并且是用“Windows 图片和传真查看器”(朋友家是XP系统)打开的,这也可以肯定一定是图片文件。朋友还告诉笔者后缀名是.gif,很显然是图片文件,朋友的电脑也没有安装杀毒软件,并且最重要的是那个文件还没有删。
        笔者便让朋友把那个文件通过QQ发了过来,发送的时候笔者在QQ显示文件名中发现了那个文件并不是gif文件,而是exe文件,文件名是:我的照片.gif.exe,并且它的图标也是图片文件的图标,见图1。笔者认为朋友的电脑应该打开了“隐藏已知文件类型的扩展名”(大家可以在“我的电脑”菜单中“工具→文件夹选项→查看→高级设置”中设置,见图2,所以告诉我后缀名是gif。笔者无意中右点了下这个文件,发现可以用“WinRAR打开”,于是笔者就用WinRAR打开了,发现里面含有两个文件——我的照片.gif和server.exe,可以肯定这server.exe就是木马,也就是朋友盗传奇世界号的罪魁祸首。

antivirus092301.jpg

图 1

antivirus092302.jpg

图 2

    由于可以直接用WinRAR打开,笔者断定它就是由WinRAR制作的,现在笔者就开始解密它的制作过程。首先要有图片文件的ico(图标)文件(可以使用其他软件提取,笔者就不在这里讲述详细过程了),如图3。把图片文件和木马都选定,右点,选择“添加到档案文件”(WinRAR的选项),见图4,在“档案文件名”那输入压缩后的文件名,比如:我的照片.gif.exe,后缀如果为.exe就可以直接执行,如果不是.rar就会打开WinRAR,所以这里最后的后缀为.exe,根据自己的需要选择“压缩方式”,然后点击“高级”标签,选择“SFX 选项”,见图5,在“释放路径”中填入你需要解压的路径,笔者这里填的是“%systemroot%/temp”(不包括引号),表示解压缩到系统安装目录下的temp(临时文件)文件夹下,并且在“安装程序”的“释放后运行”输入“server.exe”(不包括引号),在“释放前运行”输入“我的照片.gif”(不包括引号)。

antivirus092303.jpg

图 3

antivirus092304.jpg

图 4

antivirus092305.jpg

图 5

    这样在解压缩前将会打开我的照片.gif这个文件,造成朋友对文件判断的假象,会认为它就是一个图片文件,而释放完以后便会自动运行木马(即server.exe)。在“模式”标签的“缄默模式”中选择“全部隐藏”,“覆盖方式”中选择“覆盖所有文件”,在“文字和图标”标签的“自定义SFX图标”,载入刚才所准备的图片文件的ico文件,然后点击“确定”即可,这样即天衣无缝的制作了一个捆绑图片的木马。当打开这个文件时,会先运行图片文件,再自动打开木马文件,中间不会出现任何提示。

    注:希望广大朋友不要进行非法用途,在这里解密木马捆绑是希望大家了解其原理。

winrar捆绑软件

常见的cpa静默包玩法通常是捆绑在某软件上,用户打开则一起运行(cpa静默包在后台运行安装),但是多数捆绑方法都会将捆绑后的软件报毒,而一般站长又都不会做免杀,就导致了通常静默包通常只用于捆绑一些本来...
  • shuxingcq
  • shuxingcq
  • 2017年03月15日 23:54
  • 276

木马病毒工作原理

      木马病毒,是病毒的特殊形式,它与一般病毒的区别是它不仅停留在本机电脑里,更利用一些手段开放电脑端口获得与木马服务器的通信,达到获取用户信息的目的。      一个木马程序通常很小,它典型的...
  • ahepril
  • ahepril
  • 2009年12月10日 21:05
  • 2409

WinRAR(5.21)-0day漏洞-始末分析

0x00 前言 上月底,WinRAR 5.21被曝出代码执行漏洞,Vulnerability Lab将此漏洞评为高危级,危险系数定为9(满分为10),与此同时安全研究人员Mohammad ...
  • h4ck0ne
  • h4ck0ne
  • 2016年01月23日 17:48
  • 248

文件捆绑器的原理(转)

一、传统的捆绑器    这种原理很简单,也是目前用的最多的一种。就是将B.exe附加到A.exe的末尾。这样当 A.exe被执行的时候,B.exe也跟着执行了。这种捆绑器的代码是满网都是。我最早是从j...
  • freedom2017
  • freedom2017
  • 2009年01月11日 16:36
  • 668

易语言 文件捆绑机的原理【转载】

前段时间研究了一下文件捆绑,查了相关的资料,觉得这篇文章挺好的,而且看浏览过的人数也不多,应该没多少人看过吧,转给大家研究一下。          文章比较长,想学技术的建议耐心看完,好好理解,看完...
  • Exiaoyin
  • Exiaoyin
  • 2016年07月11日 16:23
  • 1158

winrar加密分析

【原创】winrar加密分析标 题: winrar加密分析作 者:天易love时 间: 2009-10-02,06:33:10链 接: http://bbs.pediy.com/showthread....
  • xcntime
  • xcntime
  • 2010年12月11日 17:49
  • 1158

[病毒] 木马原理系列一

“木马”程序会想尽一切办法隐藏自己,主要途径有:在任务栏中隐藏自己,这是最基本的只要把Form的Visible属性设为False、ShowInTaskBar设为False,程序运行时就不会出现在任务栏...
  • dpfordor
  • dpfordor
  • 2008年01月23日 22:44
  • 525

捆绑exe文件

启动前先启动 Calc.exe, 改一下, 用 Explorer.exe 也可以。 代码:-------------------------------------------------------...
  • pll621
  • pll621
  • 2005年12月11日 14:34
  • 1026

[技巧]用WinRAR解压7z.001格式的文件

有时下载的东西是7z.001....7z.002.....格式的分卷压缩包,用7z软件可解压,可是我们的电脑里一般都是安装的WinRAR解压软件,我也不想安装重复功能的软件,那该怎么办? 其实7...
  • liang5603
  • liang5603
  • 2016年08月03日 09:12
  • 371

c++晚捆绑的实现机制

早绑定(early binding)是指在实例化对象之前定义它的属性和方法,这样编译器或解释程序就能够提前转换机器代码。      晚绑定(late binding)指的是编译器或解释程序在运行前,不...
  • fjhfjhfjh123
  • fjhfjhfjh123
  • 2016年05月26日 12:28
  • 497
内容举报
返回顶部
收藏助手
不良信息举报
您举报文章:用WinRAR解析木马病毒的捆绑原理[多图]
举报原因:
原因补充:

(最多只允许输入30个字)