WinRAR另類隱藏危險

引言：WinRAR是很常用的解壓縮工具，因為其提供了創建自解壓包的功能，因此也成了病毒制作者和黑客們的“最愛”。不過現在大家已經對這類捆綁包產生了足夠的警惕，配合殺毒軟件的監控和圍捕，這類惡意自解壓包已經無法輕易對系統造成損害了。其實，除了在WinRAR自解壓包中捆綁惡意程序外，黑客還會常用特殊的方法，在其中添加各種危害系統安全的代碼，對用戶發起出其不利的襲擊。而且，殺毒軟件對這種破壞方式是無法進行攔截的，因此其危險性不容小覷。

提防掛馬術

當從網上得到某個自解壓包后，使用殺毒軟件對其掃描，沒有發現什么威脅，直接對其解包，也不會發現可疑程序。但是，如果直接雙擊運行該包，就會執行諸如自動創建黑客賬戶，讓黑客可以從容入侵；自動進入惡意網站，招來隱藏在其中的病毒木馬的攻擊等動作。這類自解包中究竟存在什么貓膩，可以逃避殺毒軟件的監視呢？其實，這就是黑客玩弄的一些小花招，在自解壓包中添加了惡意代碼惡意，黑客可以從自解壓包提供的“注釋”或者“文本和圖標”兩個部分下手，來插入惡意代碼。對于前者來說，黑客可以選中任意文件，在其右鍵菜單中點擊“添加到壓縮文件”項，在彈出窗口的“常規”面板中勾選“創建自解壓格式的壓縮包”項，來創建自解壓包。之后在“注釋”面板中的“手動輸入注釋內容”欄中輸入惡意代碼，之后創建自解壓包。一旦運行該包，就會打自動進入預設的掛馬網站。

為了實現更好的隱蔽運行效果，黑客還會在“注釋“欄中添加“silent=1”，這樣當運行時就不會出現任何提示信息，直接打開預設的網頁或者執行命令。為了防止用戶直接使用WinRAR打開該自解壓包，查看“注釋”面板中的內容，黑客還會在真正的注釋內容前添加N個空行，讓粗心的用戶以為注釋內容為空而放松警惕。另外一種添加惡意代碼的方法是借助于特殊的文本，來打造惡意自解壓包。黑客會使用使用WinRAR創建自解壓包，在設置窗口中的“高級”面板中點擊“自解壓選項”按鈕，在高級自解壓選項窗口中的“自解壓文件窗口中顯示的文本”欄中輸入惡意代碼（如圖1所示）。可以創建預設尺寸的網頁顯示界面。這樣當用戶雙擊該自解壓包時，就會在自解壓說明窗口中打開預設的惡意網頁了。對付隱藏在自解壓中的上述威脅，既可以使用WinRAR直接進入自解壓包內部，查看注釋等信息來發現危險信息，也可以通過安裝防火墻等安全軟件，來防范和攔截掛馬網站，避免其對系統造成危害。

危險文件刪除指令

僅僅在自解壓包中添加以上惡意代碼，對系統的危害還不是太大。但是黑客一旦利用自解壓包執行文件自動刪除操作，那么其危害就很大了。輕則造成重要文件丟失，重則造成磁盤內容被清空甚至系統崩潰。黑客的操作手法并不復雜，但是其破壞力破壞力卻很大。例如，黑客可以選中任意文件，在其右鍵菜單中點擊“添加到壓縮文件”項，在彈出窗口中勾選“創建自解壓格式的壓縮包”項，之后在“高級”面板中點擊“自解壓選項”按鈕，在彈出窗口中的“常規”面板中的“解壓路徑”欄中輸入目標路徑。取消“保存并恢復路徑”項的選擇狀態，之后在“高級”面板（如圖2所示）中的“目標文件夾中要刪除的文件”中輸入“*.*”。然后點擊確定按鈕，創建該自解壓包。只要雙擊該壓縮包，在彈出窗口中點擊“安裝”按鈕，之后進入目標路徑文件夾中，可以看到其中原有的文件和文件夾都消失了，只顯示自解壓包中釋放的文件。

圖2 高級自解壓選項

圖3 深入自解壓包內部查看代碼信息

如果將上述路徑更換為系統路徑，那么系統路徑中所有內容就被悄無聲息的刪除，其危害是十分嚴重的。例如，黑客可以將某個游戲軟件壓縮成自解壓包，在其中添加刪除某個分區內容的信息，那么當不知情的用戶下載并安裝該游戲后，就會驚訝的發現某個磁盤變得空空如也。一旦在其中存儲了重要數據，恐怕想找回來就要很費一番功夫了。有的用戶覺得只要在運行這種類型的自解壓包時，在解壓界面中將目標路徑指定一個空文件夾，就可以避免損失，但是狡猾的黑客會在制作自解壓包時，在該機自解壓選項窗口中的“模式”面板中的“安靜模式”欄中選擇“全部隱藏”項，在“覆蓋方式”欄中選擇“覆蓋所有文件”項。這樣當運行該自解壓包時，就不會出現任何操作界面，直接完成解壓操作，根本不給您更改自解壓參數的機會。對于這種自解壓包，殺毒軟件也是無能無力的，因為在其中沒有捆綁或者隱藏病毒，木馬等“顯眼”的目標，即使其中包含了惡意刪除指令，殺毒軟件對其也是視而不見的。

難道對于上述惡意自解壓包就沒有有效的防御方法嗎，其實防御的辦法并不少。例如，可以在自解壓包的右鍵菜單上點擊“解壓文件”項，將其手工解壓到預設的路徑中，讓其中的惡意代碼無法執行。或者現將可疑的自解壓文件更名，例如將其后綴更改為“.aaa”的類型，避免直接運行。之后啟動WinRAR，在其主界面中雙擊更名后的自解壓包，進入其內部查看其包含的文件內容，在右側會顯示其中包含的注釋，代碼等內容（如圖3所示），如果發現其中存在“delete=*.*”等內容，就要提高警惕，不要輕易雙擊運行。也可以在自解壓包的右鍵菜單上點擊“屬性”項，在其屬性窗口中的“注釋”面板中查閱相關信息，來識別其中隱藏的危險。