用WinRAR解析木马病毒的捆绑原理

今天朋友突然想我求救,说网络游戏传奇世界的号被盗了,由于朋友是在家上网,排除了在公共场所帐号和密码被别他人瞟视的可能。据朋友所说,在被盗的前一个多小时,在网上下载了一个网友的照片,并打开浏览了,但是出现的确实是网友的照片,并且是用"Windows 图片和传真查看器"(朋友家是XP系统)打开的,这也可以肯定一定是图片文件。朋友还告诉笔者后缀名是.gif,很显然是图片文件,朋友的电脑也没有安装杀毒软件,并且最重要的是那个文件还没有删。今天朋友突然想我求救,说网络游戏传奇世界的号被盗了,由于朋友是在家上网,排除了在公共场所帐号和密码被别他人瞟视的可能。据朋友所说,在被盗的前一个多小时,在网上下载了一个网友的照片,并打开浏览了,但是出现的确实是网友的照片,并且是用"Windows 图片和传真查看器"(朋友家是XP系统)打开的,这也可以肯定一定是图片文件。朋友还告诉笔者后缀名是.gif,很显然是图片文件,朋友的电脑也没有安装杀毒软件,并且最重要的是那个文件还没有删。

笔者便让朋友把那个文件通过QQ发了过来,发送的时候笔者在QQ显示文件名中发现了那个文件并不是gif文件,而是exe文件,文件名是:我的照片.gif.exe,并且它的图标也是图片文件的图标,见图1。笔者认为朋友的电脑应该打开了"隐藏已知文件类型的扩展名"(大家可以在"我的电脑"菜单中"工具→文件夹选项→查看→高级设置"中设置,见图2,所以告诉我后缀名是gif。笔者无意中右点了下这个文件,发现可以用"WinRAR打开",于是笔者就用WinRAR打开了,发现里面含有两个文件——我的照片.gif和server.exe,可以肯定这server.exe就是木马,也就是朋友盗传奇世界号的罪魁祸首。

由于可以直接用WinRAR打开,笔者断定它就是由WinRAR制作的,现在笔者就开始解密它的制作过程。首先要有图片文件的ico(图标)文件(可以使用其他软件提取,笔者就不在这里讲述详细过程了),如图3。把图片文件和木马都选定,右点,选择"添加到档案文件"(WinRAR的选项),见图4,在"档案文件名"那输入压缩后的文件名,比如:我的照片.gif.exe,后缀如果为.exe就可以直接执行,如果不是.rar就会打开WinRAR,所以这里最后的后缀为.exe,根据自己的需要选择"压缩方式",然后点击"高级"标签,选择"SFX 选项",见图5,在"释放路径"中填入你需要解压的路径,笔者这里填的是"%systemroot%\temp"(不包括引号),表示解压缩到系统安装目录下的temp(临时文件)文件夹下,并且在"安装程序"的"释放后运行"输入"server.exe"(不包括引号),在"释放前运行"输入"我的照片.gif"(不包括引号)。

这样在解压缩前将会打开我的照片.gif这个文件,造成朋友对文件判断的假象,会认为它就是一个图片文件,而释放完以后便会自动运行木马(即server.exe)。在"模式"标签的"缄默模式"中选择"全部隐藏","覆盖方式"中选择"覆盖所有文件",在"文字和图标"标签的"自定义SFX图标",载入刚才所准备的图片文件的ico文件,然后点击"确定"即可,这样即天衣无缝的制作了一个捆绑图片的木马。当打开这个文件时,会先运行图片文件,再自动打开木马文件,中间不会出现任何提示。

注:希望广大朋友不要进行非法用途,在这里解密木马捆绑是希望大家了解其原理。

(0)

相关推荐

  • 用WinRAR解析木马病毒的捆绑原理

    今天朋友突然想我求救,说网络游戏传奇世界的号被盗了,由于朋友是在家上网,排除了在公共场所帐号和密码被别他人瞟视的可能.据朋友所说,在被盗的前一个多小时,在网上下载了一个网友的照片,并打开浏览了,但是出现的确实是网友的照片,并且是用"Windows 图片和传真查看器"(朋友家是XP系统)打开的,这也可以肯定一定是图片文件.朋友还告诉笔者后缀名是.gif,很显然是图片文件,朋友的电脑也没有安装杀毒软件,并且最重要的是那个文件还没有删.今天朋友突然想我求救,说网络游戏传奇世界的号被盗了,由于

  • 网站源文件被注入了<iframe>代码—ARP欺骗的木马病毒攻击

    最近我的网站突然出现访问的迟钝,并且打开之后杀毒软件立即提示含有木马病毒. 我就很纳闷,运行了4年的网站一直都好好的最近怎么出现病毒提示呢.职业习惯原因打开了网站的源代码查看,原来在网页源代码的头部被加入了<iframe>嵌套框架网页,该网页执行木马程序-- 按照常理我心中一寒:估计是服务器被人攻陷了,所有文件代码被加了此行代码,于是FTP上去,下载文件下来查看却没有该代码. 于是询问服务器管理员含笑,他一听就说:"是中ARP欺骗的病毒攻击了". 那么什么是"AR

  • 解析arp病毒背后利用的Javascript技术附解密方法

    本文的目的是探讨JS相关技术,并不是以杀毒为主要目的,杀毒只是为讲解一些JS做铺垫的,呵呵,文章有点长,倒杯咖啡或者清茶慢慢看,学习切勿急躁! 最近公司的网络中了这两天闹的很欢的ARP病毒,导致大家都无法上网,给工作带来了很大的不方便,在这里写下杀毒的过程,希望对大家能有帮助! 现象:打开部分网页显示为乱码,好像是随机的行为,但是看似又不是,因为它一直在监视msn.com,呵呵,可能和微软有仇吧,继续查看源代码,发现头部有一个js文件链接----<script src=http://9-6.in

  • SysWin7z.Jmp SysWin7z.sys木马病毒的手动删除方法

    病毒名称:Trojan-PSW.Win32.QQPass.ajo(Kaspersky) 病毒别名:Worm.Win32.PaBug.cf(瑞星),Win32.Troj.QQPassT.ah.110771(毒霸) 病毒大小:32,948 字节 加壳方式:UPX 样本MD5:772f4dfc995f7c1ad6d1978691190CDe 样本SHA1:e9d2bcc5666a3433d5ef8cc836c4579f03f8b6cc 关联病毒: 传播方式:通过恶意网页传播.其它木马下载.优盘及移动硬

  • 网友举报:屁屁宽频软件自带木马病毒(图)

    昨天下载屁屁宽频.测试验证该程序有木马病毒. 系统启动项加载mstasks.exe 下面引自瑞星升级报告之: 27.Trojan.SdBot.gen.p 破坏方法:拷贝自己到系统目录,命名为MSTASKS.EXE,登记为自启动. 病毒驻留内存,非法连接hirc.3322.org,将本地信息泄漏出去. http://virus.chinavnet.com/newSite/Channels/Anti_Virus/Upgrade_Report/Upgrade_Report/200308/18-1708

  • Tomcat解析XML和反射创建对象原理

    下面通过实例代码给大家介绍Tomcat解析XML和反射创建对象原理,具体代码如下所示: import java.lang.reflect.InvocationTargetException; import java.lang.reflect.Method; import java.util.List; import org.dom4j.Document; import org.dom4j.DocumentException; import org.dom4j.Element; import or

  • 通过实例解析JMM和Volatile底层原理

    这篇文章主要介绍了通过实例解析JMM和Volatile底层原理,文中通过示例代码介绍的非常详细,对大家的学习或者工作具有一定的参考学习价值,需要的朋友可以参考下 JMM和volatile分析 1.JMM:Java Memory Model,java线程内存模型 JMM:它是一个抽象的概念,描述的是线程和内存间的通信,java线程内存模型和CPU缓存模型类似,它是标准化的,用于屏蔽硬件和操作系统对内存访问的差异性. 2.JMM和8大原子操作结合 3.volatile的应用及底层原理探究 volat

  • Web网络安全解析宽字节注入攻击原理

    目录 宽字节注入攻击 宽字节注入代码分析 宽字节注入攻击 宽字节注入攻击的测试地址:http://127.0.0.1/sqli/kuanzijie.php?id=1. 访问id=1',页面返回的结果如图46所示,程序并没有报错,反而多了一个转义符(反斜杠). 图46 单引号被转义 从返回的结果可以看出,参数id=1在数据库查询时是被单引号包围的.当传入id=1'时,传入的单引号又被转义符(反斜杠)转义,导致参数ID无法逃逸单引号的包围,所以在一般情况下,此处是不存在SQL注入漏洞的.不过有一个特

  • Web安全解析报错注入攻击原理

    目录 1.报错注入攻击 2.报错注入代码分析 1.报错注入攻击 报错注入攻击的测试地址:http://127.0.0.1/sqli/error.php?username=1. 访问该网址时,页面返回ok,如图28所示. 图28 访问username=1时页面的的结果 访问http://127.0.0.1/sqli/error.php?username=1',因为参数username的值是1',在数据库中执行SQL时,会因为多了一个单引号而报错,输出到页面的结果如图29所示. 图29 访问user

  • 深入解析HetuEngine实现On Yarn原理

    目录 什么是On Yarn? HetuEngine架构 HetuEngine On Yarn原理 依赖文件 租户绑定 资源管理 客户端使用 摘要:本文介绍HetuEngine实现On Yarn的原理,通过阅读本文,读者可以了解HetuEngine如何在资源使用方面融入Hadoop生态体系. 本文分享自华为云社区<MRS HetuEngine 特性之 On Yarn原理介绍>,作者:一颗柠檬. HetuEngine是华为自研高性能分布式SQL查询&数据虚拟化引擎.与大数据生态无缝融合,实

随机推荐