今天朋友突然想我求救,说网络游戏传奇世界的号被盗了,由于朋友是在家上网(计算机爱好者,学习计算机基础,电脑入门,请到本站,我站同时提供计算机基础知识教程,计算机基础知识试题供大家学习和使用),,排除了在公共场所帐号和密码被别他人瞟视的可能。据朋友所说,在被盗的前一个多小时,在网上下载了一个网友的照片,并打开浏览了,但是出现的确实是网友的照片,并且是用”Windows图片和传真查看器””(朋友家是XP系统)打开的,这也可以肯定一定是图片文件。朋友还告诉笔者后缀名是.gif,很显然是图片文件,朋友的电脑也没有安装杀毒软件,并且最重要的是那个文件还没有删。今天朋友突然想我求救,说网络游戏传奇世界的号被盗了,由于朋友是在家上网,排除了在公共场所帐号和密码被别他人瞟视的可能。据朋友所说,在被盗的前一个多小时,在网上下载了一个网友的照片,并打开浏览了,但是出现的确实是网友的照片,并且是用””Windows图片和传真查看器””(朋友家是XP系统)打开的,这也可以肯定一定是图片文件。朋友还告诉笔者后缀名是.gif,很显然是图片文件,朋友的电脑也没有安装杀毒软件,并且最重要的是那个文件还没有删。
笔者便让朋友把那个文件通过QQ发了过来,发送的时候笔者在QQ显示文件名中发现了那个文件并不是gif文件,而是exe文件,文件名是:我的照片.gif.exe,并且它的图标也是图片文件的图标,见。笔者认为朋友的电脑应该打开了””隐藏已知文件类型的扩展名””(大家可以在””我的电脑””菜单中””工具→文件夹选项→查看→高级设置””中设置,见,所以告诉我后缀名是gif。笔者无意中右点了下这个文件,发现可以用””WinRAR打开””,于是笔者就用WinRAR打开了,发现里面含有两个文件——我的照片.gif和server.exe,可以肯定这server.exe就是木马,也就是朋友盗传奇世界号的罪魁祸首。
由于可以直接用WinRAR打开,笔者断定它就是由WinRAR制作的,现在笔者就开始解密它的制作过程。首先要有图片文件的ico(图标)文件(可以使用其他软件提取,笔者就不在这里讲述详细过程了),如。把图片文件和木马都选定,右点,选择””添加到档案文件””(WinRAR的选项),见,在””档案文件名””那输入压缩后的文件名,比如:我的照片.gif.exe,后缀如果为.exe就可以直接执行,如果不是.rar就会打开WinRAR,所以这里最后的后缀为.exe,根据自己的需要选择””压缩方式””,然后点击””高级””标签,选择””SFX选项””,见,在””释放路径””中填入你需要解压的路径,笔者这里填的是””%systemroot%temp””(不包括引号),表示解压缩到系统安装目录下的temp(临时文件)文件夹下,并且在””安装程序””的””释放后运行””输入””server.exe””(不包括引号),在””释放前运行””输入””我的照片.gif””(不包括引号)。
这样在解压缩前将会打开我的照片.gif这个文件,造成朋友对文件判断的假象,会认为它就是一个图片文件,而释放完以后便会自动运行木马(即server.exe)。在””模式””标签的””缄默模式””中选择””全部隐藏””,””覆盖方式””中选择””覆盖所有文件””,在””文字和图标””标签的””自定义SFX图标””,载入刚才所准备的图片文件的ico文件,然后点击””确定””即可,这样即天衣无缝的制作了一个捆绑图片的木马。当打开这个文件时,会先运行图片文件,再自动打开木马文件,中间不会出现任何提示。
注:希望广大朋友不要进行非法用途,在这里解密木马捆绑是希望大家了解其原理。
”
上一条:一个木马病毒的查杀过程
