.拒绝使用WinRAR捆绑的恶意程序
随着人们安全意识的提高,木马、硬盘炸弹等恶意程序的生存越来越成为问题,于是那些居心叵测的家伙绞尽脑汁又想出许多办法来伪装自己,利用WinRAR自解压程序捆绑恶意程序就是其中的手段之一。
攻击者可以把木马和其他可执行文件,比方说Flash动画放在同一个文件夹下,然后将这两个文件添加到档案文件中,并将文件制作为exe格式的自释放文件,这样,当你双击这个自释放文件时,就会在启动Flash动画等掩饰文件的同时悄悄地运行木马文件!这样就达到了木马种植者的目的,即运行木马服务端程序。而这一招效果又非常好,对方很难察觉到,因为并没有明显的征兆存在,所以目前使用这种方法来欺骗对方运行木马非常普遍。
利用WinRAR制作的自解压文件,不仅可以用来隐蔽的加载木马服务端程序,还可以用来修改运行者的注册表!结果是只要有人双击运行这个做过手脚的Winrar自解压程序,就会自动修改注册表键值,如同恶意网页一般危险!而且整个过程中将不会有导入注册表时的提示信息(害人者只需制作自解压文件时给regedit加上“/s”参数即可,具体方法这里不提,防止有人利用)!不仅如此,攻击者还可以把这个自解压文件和木马服务端程序或硬盘炸弹如江民炸弹等用WinRAR捆绑在一起,然后制作成自解压文件,那样对大家的威胁将更大!因为它不仅能破坏注册表,还会破坏大家的硬盘数据,想想看是不是很可怕?
不难看出,WinRAR的自解压功能真的是太强大了,它能使得不会编程的人也能在短时间内制作出非常狠毒的恶意程序,通过给生成的自解压文件起个容易使人感兴趣的名字发送给别人,或直接在网站或论坛等地方发布,来格式化对方的硬盘、删除文件、种植木马、取得系统权限等,是非常有可能、非常容易实现的。最可怕的是,在用WinRAR给自解压的文件换个图标后,就更难识别它了。而且对于含有木马或恶意程序的自解压文件,目前许多流行的杀毒软件和木马查杀软件竟无法查出其中有问题存在!不信的话,大家可以做个试验,就知道结果了。出于众所周知的原因,就不说出是哪些杀毒软件无法查出了,大家可以动手试试。
一个正常的自解压文件和捆绑了恶意程序的自解压文件有什么区别呢?或者说该如何判断自解压程序是否含有恶意程序呢?很简单!只要能发现自释放文件里面隐藏有多个文件,特别是多个可执行文件,就可以判定其中含有恶意程序!那么怎样才能知道自释放文件中含有几个文件,是哪些文件呢?一个简单的识别的方法是:用鼠标右击WinRAR自释放文件,在弹出菜单中选择“属性”,在“属性”对话框中你会发现较之普通的EXE文件多出两个标签,分别是:“档案文件”和“注释”(图1),单击“注释”标签,看其中的注释内容,你就会发现里面含有哪些文件了,这样就可以做到心中有数,这是识别用WinRAR捆绑恶意程序文件的最好方法。
图1
再告诉大家一个防范方法,遇到自解压程序不要直接运行,而是选择右键菜单中的“用WinRAR打开”,这样你就会发现该文件中到底有什么了。
