MM中木馬，求助高手

    曉陽是一名普通的公務(wù)員，喜歡不時(shí)研究點(diǎn)網(wǎng)絡(luò)安全技術(shù)，

捆綁軟件制作及防范方法

。今天在忙完手頭的工作后閑得無聊，正準(zhǔn)備上網(wǎng)瞧瞧，新來的女同事小章愁眉苦臉的來到他的面前，說她的電腦有問題，讓曉陽幫忙看看。

    “美女開口，豈敢不從”，曉陽開著玩笑來到小章的電腦前。通過仔細(xì)觀察，曉陽發(fā)現(xiàn)即使是沒有任何操作，小章的電腦硬盤的指示燈也不停地閃爍，而且桌面的鼠標(biāo)也在不斷地滑動(dòng)并進(jìn)行著文件夾的打開等操作，就像有一個(gè)人正在面前操作這臺(tái)電腦一樣。通過這一系列的現(xiàn)象，曉陽已經(jīng)明白小章的電腦程序中木馬了。

    曉陽知道，對(duì)于小章這樣的MM，想入侵她們的電腦，可以說相當(dāng)容易，但入侵者到底是如何進(jìn)入的呢？“你的電腦被安裝了一種被稱為‘木馬’的 程序，你想想什么時(shí)候發(fā)現(xiàn)電腦出現(xiàn)問題的？”曉陽對(duì)小章說道。“剛剛網(wǎng)上的一個(gè)網(wǎng)友說有一個(gè)好看的Flash動(dòng)畫，問我要不要看看，我答應(yīng)后他就傳給我了。你看就是這個(gè)Flash動(dòng)畫。”小章說著指向電腦桌面上的一個(gè)文件。

    曉陽一眼就看出這個(gè)Flash文件的問題，因?yàn)檫@個(gè)圖標(biāo)嚴(yán)重失真，并且肯定入侵者是通過文件捆綁這種方式進(jìn)行木馬傳播的。還好，這是一個(gè)目前比較流行的木馬。曉陽升級(jí)了MM電腦中殺毒軟件的病毒庫(kù)，順利清除了木馬。

    小貼士：入侵者的入侵方法，最常用的要算是文件捆綁了，就是將惡意程序和其他的一些正常的數(shù)據(jù)（或文件）捆綁到一起，然后通過各種手段欺騙用戶運(yùn)行偽裝好的程序進(jìn)行惡意程序安裝。

    重現(xiàn)捆綁陷阱選擇捆綁工具

    “那入侵者是怎樣進(jìn)行捆綁的呢？”小章問道。“我還是給你演示一下吧！” 曉陽說。曉陽知道，要進(jìn)行文件捆綁的話，要一種木馬捆綁機(jī)才行，常見捆綁機(jī)包括EXE文件捆綁機(jī)、萬能文件捆綁器、GWBinder2002等。可是由于這種捆綁機(jī)的捆綁原理已經(jīng)被廣大用戶所掌握，用戶可以通過多種手段檢測(cè)出捆綁的惡意程序。即使小章不能發(fā)現(xiàn)，可殺毒軟件卻可以將幾乎所有的捆綁類軟件進(jìn)行查殺， 一定明白這個(gè)道理。

    曉陽在網(wǎng)上看到一款名為永不查殺的捆綁機(jī)的小工具，它是由灰鴿子工作室開發(fā)的一款不被查殺的多文件捆綁工具（如圖）。

   

    曉陽知道，在這款捆綁機(jī)推出之前，灰鴿子工作室曾經(jīng)推出過一款名為萬能文件捆綁器的工具，正是由于它采用了傳統(tǒng)的捆綁方式，所以它已經(jīng)被殺毒軟件所查殺了，

電腦資料

《捆綁軟件制作及防范方法》(http://salifelink.com)。而這次全新開發(fā)的這款捆綁機(jī)，不但在操作界面上完全采用了前一款捆綁機(jī)的界面，另外在捆綁方式上完全模擬了微軟的IExpress程序來將多個(gè)不同類型的文件進(jìn)行捆綁。

    小貼士：IExpress是專用于制作各種 CAB 壓縮與自解壓縮包的工具，由于是Windows自帶的程序，所以制作出來的安裝包具有很好的兼容性。它可以幫助入侵者制造出不被殺毒軟件查殺的自解壓包，而且一般情況下還可偽裝成某個(gè)系統(tǒng)軟件的補(bǔ)丁來迷惑人（關(guān)于IExpress的介紹，大家可以查看《電腦報(bào)》2005年第23期的《Windows為你打造“免檢”木馬》一文）。

    制作木馬捆綁文件

    曉陽運(yùn)行捆綁機(jī)程序，點(diǎn)擊“添加文件”按鈕添加要捆綁的文件，他選擇了一個(gè)Flash動(dòng)畫和一個(gè)木馬程序。雖然捆綁程序可以對(duì)2個(gè)以上的文件進(jìn)行捆綁，并且支持各種類型的文件格式，這里曉陽還是只選擇了這2個(gè)文件。

    接著曉陽在“安裝首次運(yùn)行”選項(xiàng)中設(shè)置為Flash動(dòng)畫，而在“當(dāng)首次結(jié)束再運(yùn)行”選項(xiàng)中設(shè)置為木馬程序，再在“窗口運(yùn)行狀態(tài)”中對(duì)文件的窗口運(yùn)行情況進(jìn)行設(shè)置。最后為捆綁文件選擇一個(gè)圖標(biāo)，捆綁機(jī)本身已經(jīng)為用戶準(zhǔn)備了大量的候選圖標(biāo)，由于曉陽捆綁的文件是Flash動(dòng)畫，于是他選擇了一個(gè)Flash動(dòng)畫的圖標(biāo)。

    雖然候選框中已經(jīng)有一個(gè)Flash動(dòng)畫的圖標(biāo)可以選擇，但曉陽覺得不太滿意，于是點(diǎn)擊“選擇圖標(biāo)”按鈕來選擇一個(gè)自己覺得滿意的圖標(biāo)。

    小貼士：永不查殺的捆綁機(jī)除了可以支持常見的圖標(biāo)圖片文件外（*.ICO,*.BMP），還可以從可執(zhí)行文件（*.EXE）和動(dòng)態(tài)鏈接庫(kù)文件（*.DLL）中提取相關(guān)的圖標(biāo)進(jìn)行使用。

    經(jīng)過選擇，曉陽還是從Flash程序中提取了一個(gè)圖標(biāo)進(jìn)行使用，然后點(diǎn)擊“捆綁文件”按鈕就生成了自己需要的捆綁文件。曉陽立刻啟動(dòng)殺毒軟件進(jìn)行查殺，結(jié)果真的不會(huì)被查殺。“這就是 入侵你的電腦的整個(gè)過程”，曉陽看著小章說道，只見她的眼睛睜得大大的。

    為MM支招

    其實(shí)，通過文件捆綁進(jìn)行惡意文件傳播已經(jīng)不是什么新方法了，可是入侵者通過不斷的“改進(jìn)”，使得捆綁的方法層出不窮，所以給防范帶來了不少困難。

    比如現(xiàn)在很多入侵者通過正規(guī)的壓縮程序進(jìn)行捆綁。其實(shí)要檢測(cè)文件是否是用壓縮程序制作的自解壓文件非常簡(jiǎn)單。在可疑的文件上點(diǎn)擊鼠標(biāo)右鍵，選擇“屬性”命令，如果在彈出窗口中看到有“壓縮文件”這樣的標(biāo)簽，并且在標(biāo)簽的描述中會(huì)出現(xiàn)“自解壓格式 XXX 壓縮文件”的內(nèi)容，這就表示它是一個(gè)自解壓的文件。

    接著通過系統(tǒng)中的壓縮程序，比如用戶的系統(tǒng)安裝了WinRAR的話，直接通過右鍵菜單中的解壓命令進(jìn)行文件解壓，然后在解壓的文件夾中檢查是否有捆綁的惡意程序。