安全评论:WinRar也是双刃剑

ZDNet软件频道 时间:2009-11-05 作者:甘肃老五 | IT专家网 我要评论()
本文关键词:WinRAR 防病毒 Windows
WinRar是使用最频繁的压缩、解压软件,几乎进驻了所有系统。正是由于其通用性、普遍性,它成了恶意攻击者手中的一款利器。本文将列举两个攻击者利用WinRar进行恶意攻击实例。

  双刃剑伤人,当然使用不当也会伤己,关键看它掌握在谁的手里,怎么使用。WinRAR是大家使用最频繁的压缩、解压软件,它几乎进驻了所有的系统。正是由于它的通用性、普遍性,它成了恶意攻击者手中的一款利器。下面笔者列举两个攻击者利用WinRAR进行恶意攻击的实例,看看它是如何成为黑客帮凶的。

  一、WinRAR挂马

  1、实例演示

  在我们的印象中挂马一般都是在网页中嵌入恶意代码,浏览者通过浏览器浏览是然后中招。WinRAR也可以挂马,我们看攻击者是怎么做的?

  第一步:新建一个文本文件,比如lw.txt。在该文件上点击右键选择“添加到压缩文件”,打开如图1所示的窗口,在“压缩选项”中勾选“创建自解压格式压缩文件”选项。

在“压缩选项”中勾选“创建自解压格式压缩文件”选项

  图1

  第二步:点击图1中的“高级”选项卡,在打开窗口中点击“自解压选项”按钮,在“高级自解压选项”窗口中点击“文本和图标”选项卡如图2。由于“自解压文件窗口中显示的文本”支持html脚本,因此我们就可以在其下的文本框中输入跨站代码进行挂马。

在“高级自解压选项”窗口中点击“文本和图标”选项卡

  图2

  第三步:在文本框中输入如图2代码点击“确定”按钮即可。

  提示:第一行弹出一个对话框(实际攻击中会省略,我们因为是演示才加了),第二行是打开IT专家网安全子网的页面,攻击者往往会嵌入一个具有恶意代码的页面URL。

  第四步:双击打开lw.exe文件,弹出一个对话框,确定后在WinRAR中打开了相关的页面,跨站成功如图3。

跨站成功

  图3

  小结:WinRAR挂马的安全威胁比较大,因为它是我们常用的解压工具,稍微不留意就会中招。同时它支持的脚本比较多,攻击者可以利用其他更隐蔽的挂马脚本。

  2、预防技巧

  (1).不要直接双击打开后缀为exe的压缩文件,安全的做法是先打开WinRAR,然后通过它打开该压缩文件。如果压缩包中加入了恶意脚本就会在其右边的窗格中显示出来。当然也可以点击任务栏中的“信息”按钮,在打开的窗口中点击“注释”选项卡,所有的脚本都会显示出来如图4。

在打开的窗口中点击“注释”选项卡,显示脚本

  图4

  (2).安装防火墙,因为WinRAR自解压文件中被嵌入了挂马代码其就会进行网络连接,这是防火墙就会弹出是否允许网络连接的对话框如图5,这就非常可疑。

防火墙就会弹出是否允许网络连接的对话框

  图5

  二、WinRAR绑马

  WinRAR绑马和上面的挂马原理差不多,都是利用了WinRAR的自解压功能在其中嵌入恶意代码,让压缩包中的木马运行。

  1、实例演示

  第一步:准备好的木马程序和正常的程序或者图片文件,按照实例一第一步的操作把它们添加到自解压包中。根据自己的需要选择“压缩方式”,然后点击“高级”标签,选择“SFX 选项”,在“释放路径”中填入你需要解压的路径,这里填的是“%systemroot%/temp”(不包括引号),表示解压缩到系统安装目录下的temp(临时文件)文件夹下。在“解压后运行”中输入正常的程序(记事本),在“解压前运行”中输入你的木马程序名(测试中一个简单的对话框弹出小程序lw.exe)如图6。

测试中一个简单的对话框弹出小程序lw.exe

  图6

  第二步:点击“模式”选项卡,在打开的窗口中勾选“全部隐藏”和“覆盖所有文件”选项如图7,以增强容错性,最后点击“确定”即可。

在打开的窗口中勾选“全部隐藏”和“覆盖所有文件”选项

  图7

  第三步:双击运行该自解压程序,正常的程序notepand.exe和测试程序lw.exe依次运行,如图8。

正常的程序notepand.exe和测试程序lw.exe依次运行

  图8

  提示:除了上面的方法为,攻击者一般都通过脚本代码来达到在WinRAR中捆绑木马达到其目的。其中关键代码如下:

  Path=%systemroot%

  Setup=lw.exe

  Presetup=notepad.exe

  Silent=1

  Overwrite=1

  第一行是文件的解压路径,在系统根目录下;第二行是解压后自动运行lw.exe;第三行是在解压之前先运行notepad.exe,达到掩人耳目;第四行是隐藏文件,达到更隐蔽;第五行是覆盖目录下的同名文件,以容错更可靠。

  2、防范技巧

  (1).上面防挂马的第一条相同,就是用WinRAR打开自解压包

  (2).在遇到后缀为exe的自解压包前一定先用杀毒软件对其进行查毒,确定无毒后再用WinRAR打开。

  (3).通过一些诸如“捆绑分离器”的软件进行压缩包的分离,把正常的程序和木马分离出来。

  三、WinRAR欺骗

  1、实例演示

  通过上面的方法制作的自解包有两个明显的缺陷:1.尽管文件后缀为exe但是文件图标却是WinRAR的,隐蔽性不够;2.单击文件右键就会显示与WinRAR相关的项目如图9。于是攻击者对其从两个方面进行隐蔽欺骗。

单击文件右键就会显示与WinRar相关的项目

  图9

  (1).文件图标欺骗:在图10中点击“从文件加载自解压文件图标”下的“浏览”按钮,选择一个比较有欺骗性的图标文件(比如QQ游戏图标)最后点击“确定”即可。

点击“从文件加载自解压文件图标”下的“浏览”按钮

  图10

  (2).右键欺骗:

  第一步:利用UltraEdit-32或者C32Asm等编辑器打开做好的自解压程序,然后通过查找功能找到二进制526172211A07,把61改成其他的数字,比如62,再搜索807A0161,把61改成之前改的值,这里改成62如图11。

利用UltraEdit-32或者C32Asm等编辑器打开做好的自解压程序

  图11

  第二步:保存修改后的文件,点击右键查看果然右键中的WinRAR相关选项只剩下一项如图12和其他程序没有任何区别。

点击右键查看果然右键中的WinRar相关选项只剩下一项

  图12

  第三步:进行程序测试(笔者捆绑了一个灰鸽子的服务端),把该文件移动到一虚拟机双击运行,稍等片刻灰鸽子控制端提示有主机上线如图13。

灰鸽子控制端提示有主机上线

  图13

  2、防范措施

  对于经过改造的WinRAR自解压文件,上面两例中的方法一肯定无效。那只能通过用户个人提高安全意识,洁身自律不去下载运行没有安全保障的软件。当然,及时更新病毒库用杀软杀毒是非常必要的。

  总结:上面列举的攻击实例是当前黑客常用的WinRAR攻击方法,笔者要说的是,WinRAR本无罪,关键是它被攻击者利用。作为WinRAR的用户,当然没有必要因噎废食而放弃它。其实,我们只要理解了攻击原理,提高警惕掌握一定的技巧就可以有效防范类似的来自常用软件的攻击。

用户评论
用户名
评论内容
发表时间
ZDNet网友
2011-03-18 14:57:01
ZDNet网友
2010-05-21 00:49:14
ZDNet网友
2010-05-21 00:48:00
ZDNet网友
微软应该对自己的用户负责,如果用户完全使用xp升级微软win7,为什么要付出这样麻烦的代价?都是微软出品软件,且都是利用该软件获取信息以及处理文字、多媒体功能,微软应该尽可能方便用户!虽然有时候这样的请求也许跟不上时代技术发展的脚步,但是微软不要以此为借口,认为一切都理所应当,就不可以方便用户。还是要尽力,所谓拿人手短吃人嘴软,商业不正是讲求有商道吗!至少做人需诚实守信,尽可能帮助用户顺利、安全转换操作系统、各种必须软件功能尽可能兼容以及信息尽可能的少丢失!虽然这很大程度仅仅取决于微软等计算机专家、工程师的自我自律约束,我们普通用户恐怕很难知道微软究竟仅了多大力量为用户考虑,但是我相信真相会有被发现的一天,无论多久远。 微软从某种意义上来说,就是一个类似“掌握魔方”操作特别出神入化的公司。几乎奠定了电脑主要的“规则”,但是,我却相信不久将来我们会发现,电脑依然是非常有限的一个小系统而已!随着我们新的关键材料认知突破,电脑系统会真正被另一个革命性新电脑系统所取代,不要以为我这样的说法是无稽之谈不可实现,我却认为很有可能,只看这样的情况发生究竟是快还是慢,是早还是迟!变成历史的小玩具之后的电脑系统,微软会留下良好的历史声名吗?我们拭目以待! 网友::我爱佛祖
2010-02-03 13:52:55
- 发表评论 -
匿名
注册用户

百度大联盟认证黄金会员Copyright© 1997- CNET Networks 版权所有。 ZDNet 是CNET Networks公司注册服务商标。
中华人民共和国电信与信息服务业务经营许可证编号:京ICP证010391号 京ICP备09041801号-159
京公网安备:1101082134