双刃剑伤人,当然使用不当也会伤己,关键看它掌握在谁的手里,怎么使用。WinRar是大家使用最频繁的压缩、解压软件,它几乎进驻了所有的系统。正是由于它的通用性、普遍性,它成了恶意攻击者手中的一款利器。下面笔者列举两个攻击者利用WinRar进行恶意攻击的实例,看看它是如何成为黑客帮凶的。

  一、WinRar挂马

  1、实例演示

  在我们的印象中挂马一般都是在网页中嵌入恶意代码,浏览者通过浏览器浏览是然后中招。WinRar也可以挂马,我们看攻击者是怎么做的?

  第一步:新建一个文本文件,比如lw.txt。在该文件上点击右键选择“添加到压缩文件”,打开如图1所示的窗口,在“压缩选项”中勾选“创建自解压格式压缩文件”选项。

   在“压缩选项”中勾选“创建自解压格式压缩文件”选项

                                                    图1

  第二步:点击图1中的“高级”选项卡,在打开窗口中点击“自解压选项”按钮,在“高级自解压选项”窗口中点击“文本和图标”选项卡如图2。由于“自解压文件窗口中显示的文本”支持html脚本,因此我们就可以在其下的文本框中输入跨站代码进行挂马。

   在“高级自解压选项”窗口中点击“文本和图标”选项卡

                                            图2

  第三步:在文本框中输入如图2代码点击“确定”按钮即可。

  提示:第一行弹出一个对话框(实际攻击中会省略,我们因为是演示才加了),第二行是打开IT专家网安全子网的页面,攻击者往往会嵌入一个具有恶意代码的页面URL

  第四步:双击打开lw.exe文件,弹出一个对话框,确定后在WinRar中打开了相关的页面,跨站成功如图3。

   跨站成功

                                                            图3

  小结:WinRar挂马的安全威胁比较大,因为它是我们常用的解压工具,稍微不留意就会中招。同时它支持的脚本比较多,攻击者可以利用其他更隐蔽的挂马脚本。
  

  2、预防技巧

  (1).不要直接双击打开后缀为exe的压缩文件,安全的做法是先打开WinRar,然后通过它打开该压缩文件。如果压缩包中加入了恶意脚本就会在其右边的窗格中显示出来。当然也可以点击任务栏中的“信息”按钮,在打开的窗口中点击“注释”选项卡,所有的脚本都会显示出来如图4。

   在打开的窗口中点击“注释”选项卡,显示脚本

                                              图4

  (2).安装防火墙,因为WinRar自解压文件中被嵌入了挂马代码其就会进行网络连接,这是防火墙就会弹出是否允许网络连接的对话框如图5,这就非常可疑。