引言：WinRAR是很常用的解壓縮工具，因?yàn)槠涮峁┝藙?chuàng)建自解壓包的功能，因此也成了病毒制作者和黑客們的“最愛”。不過現(xiàn)在大家已經(jīng)對這類捆綁包產(chǎn)生了足夠的警惕，配合殺毒軟件的監(jiān)控和圍捕，這類惡意自解壓包已經(jīng)無法輕易對系統(tǒng)造成損害了。其實(shí)，除了在WinRAR自解壓包中捆綁惡意程序外，黑客還會(huì)常用特殊的方法，在其中添加各種危害系統(tǒng)安全的代碼，對用戶發(fā)起出其不利的襲擊。而且，殺毒軟件對這種破壞方式是無法進(jìn)行攔截的，因此其危險(xiǎn)性不容小覷。

提防掛馬術(shù)

當(dāng)從網(wǎng)上得到某個(gè)自解壓包后，使用殺毒軟件對其掃描，沒有發(fā)現(xiàn)什么威脅，直接對其解包，也不會(huì)發(fā)現(xiàn)可疑程序。但是，如果直接雙擊運(yùn)行該包，就會(huì)執(zhí)行諸如自動(dòng)創(chuàng)建黑客賬戶，讓黑客可以從容入侵；自動(dòng)進(jìn)入惡意網(wǎng)站，招來隱藏在其中的病毒木馬的攻擊等動(dòng)作。這類自解包中究竟存在什么貓膩，可以逃避殺毒軟件的監(jiān)視呢？其實(shí)，這就是黑客玩弄的一些小花招，在自解壓包中添加了惡意代碼惡意，黑客可以從自解壓包提供的“注釋”或者“文本和圖標(biāo)”兩個(gè)部分下手，來插入惡意代碼。對于前者來說，黑客可以選中任意文件，在其右鍵菜單中點(diǎn)擊“添加到壓縮文件”項(xiàng)，在彈出窗口的“常規(guī)”面板中勾選“創(chuàng)建自解壓格式的壓縮包”項(xiàng)，來創(chuàng)建自解壓包。之后在“注釋”面板中的“手動(dòng)輸入注釋內(nèi)容”欄中輸入惡意代碼，之后創(chuàng)建自解壓包。一旦運(yùn)行該包，就會(huì)打自動(dòng)進(jìn)入預(yù)設(shè)的掛馬網(wǎng)站。

為了實(shí)現(xiàn)更好的隱蔽運(yùn)行效果，黑客還會(huì)在“注釋“欄中添加“silent=1”，這樣當(dāng)運(yùn)行時(shí)就不會(huì)出現(xiàn)任何提示信息，直接打開預(yù)設(shè)的網(wǎng)頁或者執(zhí)行命令。為了防止用戶直接使用WinRAR打開該自解壓包，查看“注釋”面板中的內(nèi)容，黑客還會(huì)在真正的注釋內(nèi)容前添加N個(gè)空行，讓粗心的用戶以為注釋內(nèi)容為空而放松警惕。另外一種添加惡意代碼的方法是借助于特殊的文本，來打造惡意自解壓包。黑客會(huì)使用使用WinRAR創(chuàng)建自解壓包，在設(shè)置窗口中的“高級”面板中點(diǎn)擊“自解壓選項(xiàng)”按鈕，在高級自解壓選項(xiàng)窗口中的“自解壓文件窗口中顯示的文本”欄中輸入惡意代碼（如圖1所示）?？梢詣?chuàng)建預(yù)設(shè)尺寸的網(wǎng)頁顯示界面。這樣當(dāng)用戶雙擊該自解壓包時(shí)，就會(huì)在自解壓說明窗口中打開預(yù)設(shè)的惡意網(wǎng)頁了。對付隱藏在自解壓中的上述威脅，既可以使用WinRAR直接進(jìn)入自解壓包內(nèi)部，查看注釋等信息來發(fā)現(xiàn)危險(xiǎn)信息，也可以通過安裝防火墻等安全軟件，來防范和攔截掛馬網(wǎng)站，避免其對系統(tǒng)造成危害。

危險(xiǎn)文件刪除指令

僅僅在自解壓包中添加以上惡意代碼，對系統(tǒng)的危害還不是太大。但是黑客一旦利用自解壓包執(zhí)行文件自動(dòng)刪除操作，那么其危害就很大了。輕則造成重要文件丟失，重則造成磁盤內(nèi)容被清空甚至系統(tǒng)崩潰。黑客的操作手法并不復(fù)雜，但是其破壞力破壞力卻很大。例如，黑客可以選中任意文件，在其右鍵菜單中點(diǎn)擊“添加到壓縮文件”項(xiàng)，在彈出窗口中勾選“創(chuàng)建自解壓格式的壓縮包”項(xiàng)，之后在“高級”面板中點(diǎn)擊“自解壓選項(xiàng)”按鈕，在彈出窗口中的“常規(guī)”面板中的“解壓路徑”欄中輸入目標(biāo)路徑。取消“保存并恢復(fù)路徑”項(xiàng)的選擇狀態(tài)，之后在“高級”面板（如圖2所示）中的“目標(biāo)文件夾中要?jiǎng)h除的文件”中輸入“*.*”。然后點(diǎn)擊確定按鈕，創(chuàng)建該自解壓包。只要雙擊該壓縮包，在彈出窗口中點(diǎn)擊“安裝”按鈕，之后進(jìn)入目標(biāo)路徑文件夾中，可以看到其中原有的文件和文件夾都消失了，只顯示自解壓包中釋放的文件。

圖2 高級自解壓選項(xiàng)

圖3 深入自解壓包內(nèi)部查看代碼信息

如果將上述路徑更換為系統(tǒng)路徑，那么系統(tǒng)路徑中所有內(nèi)容就被悄無聲息的刪除，其危害是十分嚴(yán)重的。例如，黑客可以將某個(gè)游戲軟件壓縮成自解壓包，在其中添加刪除某個(gè)分區(qū)內(nèi)容的信息，那么當(dāng)不知情的用戶下載并安裝該游戲后，就會(huì)驚訝的發(fā)現(xiàn)某個(gè)磁盤變得空空如也。一旦在其中存儲(chǔ)了重要數(shù)據(jù)，恐怕想找回來就要很費(fèi)一番功夫了。有的用戶覺得只要在運(yùn)行這種類型的自解壓包時(shí)，在解壓界面中將目標(biāo)路徑指定一個(gè)空文件夾，就可以避免損失，但是狡猾的黑客會(huì)在制作自解壓包時(shí)，在該機(jī)自解壓選項(xiàng)窗口中的“模式”面板中的“安靜模式”欄中選擇“全部隱藏”項(xiàng)，在“覆蓋方式”欄中選擇“覆蓋所有文件”項(xiàng)。這樣當(dāng)運(yùn)行該自解壓包時(shí)，就不會(huì)出現(xiàn)任何操作界面，直接完成解壓操作，根本不給您更改自解壓參數(shù)的機(jī)會(huì)。對于這種自解壓包，殺毒軟件也是無能無力的，因?yàn)樵谄渲袥]有捆綁或者隱藏病毒，木馬等“顯眼”的目標(biāo)，即使其中包含了惡意刪除指令，殺毒軟件對其也是視而不見的。

難道對于上述惡意自解壓包就沒有有效的防御方法嗎，其實(shí)防御的辦法并不少。例如，可以在自解壓包的右鍵菜單上點(diǎn)擊“解壓文件”項(xiàng)，將其手工解壓到預(yù)設(shè)的路徑中，讓其中的惡意代碼無法執(zhí)行?；蛘攥F(xiàn)將可疑的自解壓文件更名，例如將其后綴更改為“.aaa”的類型，避免直接運(yùn)行。之后啟動(dòng)WinRAR，在其主界面中雙擊更名后的自解壓包，進(jìn)入其內(nèi)部查看其包含的文件內(nèi)容，在右側(cè)會(huì)顯示其中包含的注釋，代碼等內(nèi)容（如圖3所示），如果發(fā)現(xiàn)其中存在“delete=*.*”等內(nèi)容，就要提高警惕，不要輕易雙擊運(yùn)行。也可以在自解壓包的右鍵菜單上點(diǎn)擊“屬性”項(xiàng)，在其屬性窗口中的“注釋”面板中查閱相關(guān)信息，來識(shí)別其中隱藏的危險(xiǎn)。