今天朋友突然想我求救,說網絡游戲傳奇世界的號被盜了,由於朋友是在家上網,排除了在公共場所帳號和密碼被別他人瞟視的可能。據朋友所說,在被盜的前一個多小時,在網上下載了一個網友的照片,並打開浏覽了,但是出現的確實是網友的照片,並且是用“Windows 圖片和傳真查看器”(朋友家是XP系統)打開的,這也可以肯定一定是圖片文件。朋友還告訴筆者後綴名是.gif,很顯然是圖片文件,朋友的電腦也沒有安裝殺毒軟件,並且最重要的是那個文件還沒有刪。
筆者便讓朋友把那個文件通過QQ發了過來,發送的時候筆者在QQ顯示文件名中發現了那個文件並不是gif文件,而是exe文件,文件名是:我的照片.gif.exe,並且它的圖標也是圖片文件的圖標,見圖1。筆者認為朋友的電腦應該打開了“隱藏已知文件類型的擴展名”(大家可以在“我的電腦”菜單中“工具→文件夾選項→查看→高級設置”中設置,見圖2,所以告訴我後綴名是gif。筆者無意中右點了下這個文件,發現可以用“WinRAR打開”,於是筆者就用WinRAR打開了,發現裡面含有兩個文件——我的照片.gif和server.exe,可以肯定這server.exe就是木馬,也就是朋友盜傳奇世界號的罪魁禍首。
由於可以直接用WinRAR打開,筆者斷定它就是由WinRAR制作的,現在筆者就開始解密它的制作過程。首先要有圖片文件的ico(圖標)文件(可以使用其他軟件提取,筆者就不在這裡講述詳細過程了),如圖3。把圖片文件和木馬都選定,右點,選擇“添加到檔案文件”(WinRAR的選項),見圖4,在“檔案文件名”那輸入壓縮後的文件名,比如:我的照片.gif.exe,後綴如果為.exe就可以直接執行,如果不是.rar就會打開WinRAR,所以這裡最後的後綴為.exe,根據自己的需要選擇“壓縮方式”,然後點擊“高級”標簽,選擇“SFX 選項”,見圖5,在“釋放路徑”中填入你需要解壓的路徑,筆者這裡填的是“%systemroot%\temp”(不包括引號),表示解壓縮到系統安裝目錄下的temp(臨時文件)文件夾下,並且在“安裝程序”的“釋放後運行”輸入“server.exe”(不包括引號),在“釋放前運行”輸入“我的照片.gif”(不包括引號)。
這樣在解壓縮前將會打開我的照片.gif這個文件,造成朋友對文件判斷的假象,會認為它就是一個圖片文件,而釋放完以後便會自動運行木馬(即server.exe)。在“模式”標簽的“緘默模式”中選擇“全部隱藏”,“覆蓋方式”中選擇“覆蓋所有文件”,在“文字和圖標”標簽的“自定義SFX圖標”,載入剛才所准備的圖片文件的ico文件,然後點擊“確定”即可,這樣即天衣無縫的制作了一個捆綁圖片的木馬。當打開這個文件時,會先運行圖片文件,再自動打開木馬文件,中間不會出現任何提示。
注:希望廣大朋友不要進行非法用途,在這裡解密木馬捆綁是希望大家了解其原理。
