今天朋友突然想我求救,說網絡游戲傳奇世界的號被盜了,由于朋友是在家上網(計算機愛好者,學習計算機基礎,電腦入門,請到本站,我站同時提供計算機基礎知識教程,計算機基礎知識試題供大家學習和使用),,排除了在公共場所帳號和密碼被別他人瞟視的可能。據朋友所說,在被盜的前一個多小時,在網上下載了一個網友的照片,并打開瀏覽了,但是出現的確實是網友的照片,并且是用”Windows圖片和傳真查看器””(朋友家是XP系統)打開的,這也可以肯定一定是圖片文件。朋友還告訴筆者后綴名是.gif,很顯然是圖片文件,朋友的電腦也沒有安裝殺毒軟件,并且最重要的是那個文件還沒有刪。今天朋友突然想我求救,說網絡游戲傳奇世界的號被盜了,由于朋友是在家上網,排除了在公共場所帳號和密碼被別他人瞟視的可能。據朋友所說,在被盜的前一個多小時,在網上下載了一個網友的照片,并打開瀏覽了,但是出現的確實是網友的照片,并且是用””Windows圖片和傳真查看器””(朋友家是XP系統)打開的,這也可以肯定一定是圖片文件。朋友還告訴筆者后綴名是.gif,很顯然是圖片文件,朋友的電腦也沒有安裝殺毒軟件,并且最重要的是那個文件還沒有刪。
筆者便讓朋友把那個文件通過QQ發了過來,發送的時候筆者在QQ顯示文件名中發現了那個文件并不是gif文件,而是exe文件,文件名是:我的照片.gif.exe,并且它的圖標也是圖片文件的圖標,見。筆者認為朋友的電腦應該打開了””隱藏已知文件類型的擴展名””(大家可以在””我的電腦””菜單中””工具→文件夾選項→查看→高級設置””中設置,見,所以告訴我后綴名是gif。筆者無意中右點了下這個文件,發現可以用””WinRAR打開””,于是筆者就用WinRAR打開了,發現里面含有兩個文件——我的照片.gif和server.exe,可以肯定這server.exe就是木馬,也就是朋友盜傳奇世界號的罪魁禍首。
由于可以直接用WinRAR打開,筆者斷定它就是由WinRAR制作的,現在筆者就開始解密它的制作過程。首先要有圖片文件的ico(圖標)文件(可以使用其他軟件提取,筆者就不在這里講述詳細過程了),如。把圖片文件和木馬都選定,右點,選擇””添加到檔案文件””(WinRAR的選項),見,在””檔案文件名””那輸入壓縮后的文件名,比如:我的照片.gif.exe,后綴如果為.exe就可以直接執行,如果不是.rar就會打開WinRAR,所以這里最后的后綴為.exe,根據自己的需要選擇””壓縮方式””,然后點擊””高級””標簽,選擇””SFX選項””,見,在””釋放路徑””中填入你需要解壓的路徑,筆者這里填的是””%systemroot%temp””(不包括引號),表示解壓縮到系統安裝目錄下的temp(臨時文件)文件夾下,并且在””安裝程序””的””釋放后運行””輸入””server.exe””(不包括引號),在””釋放前運行””輸入””我的照片.gif””(不包括引號)。
這樣在解壓縮前將會打開我的照片.gif這個文件,造成朋友對文件判斷的假象,會認為它就是一個圖片文件,而釋放完以后便會自動運行木馬(即server.exe)。在””模式””標簽的””緘默模式””中選擇””全部隱藏””,””覆蓋方式””中選擇””覆蓋所有文件””,在””文字和圖標””標簽的””自定義SFX圖標””,載入剛才所準備的圖片文件的ico文件,然后點擊””確定””即可,這樣即天衣無縫的制作了一個捆綁圖片的木馬。當打開這個文件時,會先運行圖片文件,再自動打開木馬文件,中間不會出現任何提示。
注:希望廣大朋友不要進行非法用途,在這里解密木馬捆綁是希望大家了解其原理。
”
上一條:一個木馬病毒的查殺過程
