看来,WINRAR自解压不仅可以按照捆绑的方式夹带传播木马,利用这种方式也可以跨站挂马。有些有安全意识的人,一般先用WINRAR打开自解压格式文件。
图6
但是会忽略在文本和图标的选型卡内容里是否存在恶意代码。但是这样的恶意代码也有缺陷,用WINRAR打开的时候直接会在右面看到代码。对于有一点经验的人来说很容易识别。
图7
可是利用者可以增强迷惑性,在里面添加大量的文字,然后中间插入一段这样的代码。用户也是很难看出的。另外还有一种方式可能被利用者使用。就是让WINRAR无法打开自解压文件。可以在自解压格式文件上加壳。这样WINRAR就无法打开自解压格式文件了。但是加壳的容易出错。还可以修改自解压的特征,让WINRAR不能识别。对于这样的利用方式更别说看到里面的注释命令是什么了。对于修改自解压文件本身,有如下的修改方式:
