安全实例：遭遇“艳照门”木马

　　测试环境

　　虚拟机系统：windows xp2

　　下载软件：迅雷

　　杀毒软件：瑞星2008(打了最新补丁包)

　　一、中招过程

　　朋友好奇，寻找艳照门图片。在百度某贴吧中看到一条信息，提供艳照下载，并且给出了链接地址“http://guilin123.*.com/yanmenzhao.rar”于是迫不及待地用迅雷下载，下载的过程中“迅雷安全中心”弹出病毒威胁警告对话框，由于是测试忽略，点击“继续下载”。(图1)

　　为了测试，笔者的迅雷设置了“下载完成后杀毒”。下载完成后，瑞星病毒扫描后提示“发现2个病毒，清除失败!”(图2)

　　二、病毒分析

　　下载完成的这个名称为yanmenzhao，大小为1.04M文件是个压缩文件，后缀为rar。右键单击选择“解压到yanmenzhao下”，解压后为yanmenzhao.exe，其后缀为exe，这是个自动解压文件，估计攻击者一定在其中做了文章。(图3)

　　这时千万不能直接双击打开，打开后一定会运行自解压脚本就会中招。先打开WinRAR压缩软件，然后通过“文件”→“打开压缩文件”来打开yuanmenzhao.exe，果然在其下有两个文件：艳门照.rar、ymz.exe。第一个文件应该就是图片压缩包，而第二个就是木马压缩文件。同时在WinRAR的右侧窗格中发现如下代码：(图4)