识破用WinRAR捆绑的木马

　　随着人们安全意识的提高，木马的生存越来越成为问题，木马种植者当然不甘心木马就这样被人所发觉，于是他们想出许多办法来伪装隐藏自己的行为，利用WinRAR捆绑木马就是其中的手段之一。那么我们怎么才能识别出其中藏有木马呢？本文讲述的正是这个问题。

　　攻击者可以把木马和其他可执行文件，比方说Flash动画放在同一个文件夹下，然后将这两个文件添加到档案文件中，并将文件制作为exe格式的自释放文件，这样，当你双击这个自释放文件时，就会在启动Flash动画等文件的同时悄悄地运行木马文件！这样就达到了木马种植者的目的，即运行木马服务端程序。而这一招效果又非常好，令对方很难察觉到，因为并没有明显的征兆存在，所以目前使用这种方法来运行木马非常普遍。为戳穿这种伪装，了解其制作过程，做到知己知彼，下面我们来看一个实例。

　　下面我们以一个实例来了解这种捆绑木马的方法。目标是将一个Flash动画（1.swf）和木马服务端文件（1.exe）捆绑在一起，做成自释放文件，如果你运行该文件，在显示Flash动画的同时就会中木马！具体方法是：把这两个文件放在同一个目录下，按住Ctrl键的同时用鼠标选中1.swf和1.exe，然后点击鼠标右键，在弹出菜单中选择“添加到档案文件”，会出现一个标题为“档案文件名字和参数”的对话框（图2），在该对话框的“档案文件名”栏中输入任意一个文件名，比方说暴笑三国.exe（只要容易吸引别人点击就可以）。注意，文件扩展名一定得是.exe（也就是将“创建自释放格式档案文件”勾选上），而默认情况下为.rar，要改过来才行，否则无法进行下一步的工作。