揭開WinRAR注釋秘密

將病毒木馬等惡意程序和正常的文件捆綁在一起，并在自解壓包中添加運(yùn)行指令，當(dāng)用戶運(yùn)行此類壓縮包，如果不仔細(xì)檢查的話，就會招致隱藏在其中的病毒的攻擊。

其實(shí)，對付這類捆綁文件方法有很多，最簡單的就是先使用WinRAR打開該自解壓包，查看其內(nèi)容。當(dāng)然，病毒可能經(jīng)過免殺處理?；蛘邥阂獬绦蚋蛘邽槠淦鹨粋€(gè)具有迷惑性質(zhì)的名稱，來逃避用戶的檢查。對此，只需點(diǎn)擊WinRAR工具欄上的“注釋”按鈕，可以查看其包含的所有控制指令。如果發(fā)現(xiàn)“setop”之類的危險(xiǎn)指令，就應(yīng)該引起我們的警覺，不要輕易運(yùn)行該自解壓包，而要對其采取進(jìn)一步檢測處理。不過，有些病毒比較狡猾，會采取隱藏注釋的手段，將可疑的指令信息隱藏起來，來麻痹用戶，進(jìn)而實(shí)現(xiàn)非法運(yùn)行的目的。

圖1 導(dǎo)出隱形注釋信息

例如，筆者不久之前就遇到了這種情況。當(dāng)從網(wǎng)上下載了一個(gè)感興趣的軟件后，發(fā)現(xiàn)其采用的是自解壓格式，出于安全性的考慮，使用WinRAR將其打開，并沒有發(fā)現(xiàn)明顯問題。打開注釋窗口，發(fā)現(xiàn)里面只是簡單的說明信息。于是放心地雙擊該自解壓包，但是安裝的某款殺毒軟件卻提示有可疑程序活動，查看其監(jiān)控日志，發(fā)現(xiàn)可疑程序是從該自解壓包中釋放出來的。毫無疑問，該自解壓包一定存在問題，當(dāng)運(yùn)行時(shí)會放出可疑程序，并利用內(nèi)置的控制指令激活該可疑程序。但是，在該自解壓包中的注釋信息并沒有看到任何控制指令。該可疑程序雖然經(jīng)過免殺處理，不過其活動卻遭到了殺毒軟件主動防御功能的攔截，并沒有對系統(tǒng)造成什么危害。經(jīng)過對該自解壓包的研究，終于發(fā)現(xiàn)了問題所在。

原來，該自解壓包包含有隱形注釋信息，直接查看其注釋信息，只能看到一些無關(guān)緊要的說明信息。其實(shí)，真正的控制指令處于隱藏狀態(tài)。要想查看這些隱藏注釋并不難，在WinRAR中提供了很多命令行參數(shù)，其中的“cw”開關(guān)就是用來顯示隱藏注釋信息的。在CMD窗口中切換到WinRAR運(yùn)行路徑，默認(rèn)為“C:Program FilesWinRAR”文件夾。執(zhí)行“winrar cw keyiwenjian.exe zhushi.txt”命令，就可以 將“keyiwenjian.exe” 中的隱藏注釋信息保存到名為“zhushi.txt”的文件中（如圖1所示）。當(dāng)然，該指令導(dǎo)出的是ACSII格式的文本，如果執(zhí) 行“winrar keyiwenjian.exe—scuc zhushi.txt”命令，可以導(dǎo)出基于Unicode格式的文本文件。

圖2 查看真實(shí)的注釋信息

打開“zhushi.txt”文件，就可以顯示完整的注釋信息了。從中可以看到，前兩行顯示的都是正常的說明信息，但是第三行卻顯示了一個(gè)奇怪的字符，之后的內(nèi)容在正常的注釋窗口中是無法顯示的（如圖2所示）?？磥恚@個(gè)奇怪的字符大有來頭。為了搞清其來歷，筆者運(yùn)行了WinHex這款強(qiáng)大的編輯軟件，在其主界面中點(diǎn)擊菜單“文件”-“打開”項(xiàng)，導(dǎo)入該注釋文件。發(fā)現(xiàn)這個(gè)奇怪字符的ASCII編碼為1A，對應(yīng)的十進(jìn)制數(shù)值為26。因?yàn)樵撟址麨榉谴蛴∽址豢梢娮址?，所以使用Notepad2等工具將其打開，就可以將其正確顯示出來了。

將該字符復(fù)制出來，之后使用WinRAR創(chuàng)建一個(gè)自解壓文件，并在注釋中添加一些控制指令，之后將該字符粘貼到其中某條指令的前面，然后完成該自解壓文件的創(chuàng)建。之后使用WinRAR打開該自解壓文件，在注釋窗口中果然發(fā)現(xiàn)該行指令及其之后的內(nèi)容徹底消失了。當(dāng)運(yùn)行該自解壓文件時(shí)，會發(fā)現(xiàn)所有的內(nèi)置指令執(zhí)行的都很正確，并沒有因?yàn)樵撎厥庾址斐扇魏斡绊懀簿褪钦f，隱藏的控制指令同樣可以正常運(yùn)行。其實(shí)，您無需使用別的編輯工具，只需在WinRAR注釋信息編輯窗口中按下ALT鍵的同時(shí)，在小鍵盤上輸入26，同樣可以快速輸入該特殊字符。

根據(jù)以上分析不難看出，利用該特殊字符，就可以將之后的注釋信息隱藏起來。這種方法如果被病毒惡意利用，其危害是不言而喻的。因?yàn)橛脩艨床坏竭@些危險(xiǎn)的指令，所有很容易對其放松警惕，從而放心大膽地運(yùn)行病毒精心制作的自解壓包，隱藏在其中的病毒木馬文件就會乘機(jī)侵入系統(tǒng)。如果這些惡意程序經(jīng)過免殺處理，其危害性將變得更大。所以，當(dāng)我們在檢測可疑的自解壓文件時(shí)，不要被表面的假象所迷惑，而應(yīng)該對其進(jìn)行深入分析。利用WinRAR提供的“cw”命令行開關(guān)，來檢測其中是否存在隱藏注釋信息，如果存在的話，就應(yīng)該小心應(yīng)對，將其刪除或者將其內(nèi)容全部釋放出來，將其中的可疑文件清除。

順便說一下，當(dāng)我們從網(wǎng)上得到WinRAR格式的壓縮包時(shí)，如果仔細(xì)查看的話，會發(fā)現(xiàn)里面的內(nèi)容往往很雜，不僅有我們需要的文件，而且還包含其它一些垃圾文件，例如HTML、CMD、BAT、TXT、SCR、CHM、REG等類型的文件，其中有些是正常的可用文件，而有些則是藏有貓膩的不法之徒。當(dāng)您不經(jīng)意間雙擊了這些文件，輕則系統(tǒng)配置遭到惡意篡改，重則掉入惡意網(wǎng)站招來病毒的襲擊。其實(shí)，我們完全可以利用WinRAR自帶的過濾功能，將無關(guān)的垃圾文件排除在外，而只顯示我們只要的正常文件。在WinRAR主界面中點(diǎn)擊菜單“選項(xiàng)”-“設(shè)置”項(xiàng)，在設(shè)置窗口中的“安全”面板中勾選“解壓時(shí)排除的文件類型”項(xiàng)，在其下輸入需要排除的文件類型，例如“*.html *.asp *.reg*.exe *.com *.pif *.scr*.reg *.cmd *.bat”等，不同的類型之間以半角空格分割。點(diǎn)擊確定按鈕保存配置信息，以后在解壓RAR文件時(shí)，這些文件類型就會自動被排除在外了。

當(dāng)然，上述方法僅僅是將不需要的文件排除在外，如果您想將RAR壓縮包中的垃圾文件徹底清除的話，可以利用WinRAR自帶的命令行參數(shù)來完成。首先在桌面上右擊“我的電腦”圖標(biāo)，在彈出窗口中點(diǎn)擊“屬性”項(xiàng)，在系統(tǒng)屬性窗口中的“高級”面板中點(diǎn)擊“環(huán)境變量”按鈕，在彈出窗口中的“系統(tǒng)變量”欄中雙擊“Path”項(xiàng)，在彈出窗口中的“變量值”欄末尾輸入“；”，之后添加WinRAR的運(yùn)行路徑，例如“C:Program FilesWinRAR”（不帶引號）。之后點(diǎn)擊確定按鈕保存路徑信息。使用記事本建立一個(gè)后綴為“.cmd”的文件，例如其名稱為“clear.cmd”。其內(nèi)容為“FOR/r %%v IN (*.rar) DO rar d "%%v" *.html *.asp *.reg*.exe *.com *.pif *.scr *.reg-r”。注意，其中的垃圾文件信息需要根據(jù)實(shí)際情況而定。之后將“clear.cmd”文件放置到存儲RAR文件的目錄中，運(yùn)行該“clear.cmd”文件，就可以將該路徑下所有RAR包中的預(yù)設(shè)垃圾信息全部清除。