一不留神ＷｉｎＲＡＲ讓你變肉雞

昨天，同學小毛猴急地找到我：“我的電腦莫名其妙地中了木馬病毒，好像變成了別人控制的肉雞。你快幫我看看吧!”平時這家伙對電腦安全還是有點意識呀，怎么會中毒呢?我仔細一問，原來他從網上下載了一個RAR壓縮包的軟件。點擊后沒打開，提示有錯誤，此后系統就變得不正常了。RAR壓縮包帶毒的事情我以前也遇到過不少，但它們多是利用其自解壓特性附帶運行了木馬。而小毛這次碰到的顯然不是這類情況。

小小漏洞，木馬捆綁玩出新花樣

我找小毛拷來那個RAR壓縮包在虛擬機中測試，點擊后WinRAR報錯，看不出有什么不妥，仿佛只是因為下載不完整而導致壓縮包出錯。經過仔細研究后，我才發現它壓根兒不是什么軟件的壓縮包，其本身就是黑客利用WinRAR的一個溢出漏洞制作的捆綁木馬!

下面我模擬一下此黑客的手法。首先，下載其專用的溢出漏洞工具rar.exe，在系統的命令行窗口中輸入并運行它，可以看到如圖1所示的參數。然后，用它捆綁木馬，其命令語法為：rar*.exe(*.exe為準備好的木馬文件)，簡單吧?我在此采用了免殺版的“灰鴿子”木馬，命令完成后生成一個Oday.zip文件。最后，把這個文件改名為常用軟件的RAR壓縮包，如“ACDSee 9.0綠色版.tar”，再通過網站、QQ或論壇等途徑將它發布。就這樣，當不明真相的人下載并點擊這個所謂的軟件壓縮包時，其電腦中的WinRAR就會提示出錯，然后木馬就利用WinRAR的溢出漏洞植入電腦了。事實證明，小毛就是中了此招!

因為木馬文件是在后臺悄悄運行的，大家看不到，所以為了讓大家能更直觀地看到，我將免殺版的“灰鴿子”木馬文件用系統自帶的“計算器”來代替，即calc.exe。按照前面的方法，同樣生成一個Oday.zip文件。我將該文件發送到小毛的電腦中讓他打開，小毛不久便回話：“打開先是報錯，然后‘計算器’自動運行了。”他還抓圖向我證實，如圖2。幸好只是“計算器”，要是木馬這家伙又遭殃了，呵呵!

我統計了一下，在W nnRAR 3.0～3.6BETA6中均存在這個本地堆棧緩沖區溢出漏洞。我用WinRAR 3.71也測試了，雖然也會提示出錯，但木馬不能運行。由于WinRAR是大家電腦中最不注意升級的軟件之一，因而雖然現在其最新版本是3.71，但絕大部分電腦中還是裝的3.6甚至更低的版本。小毛就是因為沒有及時升級WinRAR，從而讓自己的電腦被黑客變成了肉雞。

花樣再多也沒用，木馬掃光

“那我的電腦現在怎么辦呢?”小毛急切地問道。“簡單呀，這玩意兒只是在木馬植入電腦的方式上耍了點小聰明，已經在電腦中落戶的木馬你用殺毒軟件去殺就行了，不行就換幾款有殺木馬功能的安全小軟件。”我向他介紹方法，“要說預防嘛，別忘了把WinRAR升級到3.71版本及更高版本啊。另外別太依賴殺毒軟件的實時監控功能，有些做過免殺處理的木馬它攔不住。還有一句老話：不明的文件不要太好奇，QQ或網頁中某MM的‘靚照.rar’，或‘我剛拍的寫真.rar’一類的鏈接最好不要亂點和下載。”

最后再透露一個小竅門：碰到不熟悉的RAR壓縮包，你可以用鼠標右鍵去點擊它，如果沒有看到“用WinRAR打開”這類的菜單項，就要多個心眼了。