案例分析：使用 WinRAR 解密木马捆绑的原理

　今天朋友突然想我求救，说网络游戏传奇世界的号被盗了，由于朋友是在家上网，排除了在公共场所帐号和密码被别他人瞟视的可能。据朋友所说，在被盗的前一个多小时，在网上下载了一个网友的照片，并打开浏览了，但是出现的确实是网友的照片，并且是用“Windows　图片和传真查看器”（朋友家是XP系统）打开的，这也可以肯定一定是图片文件。朋友还告诉笔者后缀名是.gif，很显然是图片文件，朋友的电脑也没有安装杀毒软件，并且最重要的是那个文件还没有删。　　

　　　　笔者便让朋友把那个文件通过ＱＱ发了过来，发送的时候笔者在ＱＱ显示文件名中发现了那个文件并不是gif文件，而是exe文件，文件名是：我的照片.gif.exe，并且它的图标也是图片文件的图标，见图1。笔者认为朋友的电脑应该打开了“隐藏已知文件类型的扩展名”（大家可以在“我的电脑”菜单中“工具→文件夹选项→查看→高级设置”中设置，见图2，所以告诉我后缀名是gif。笔者无意中右点了下这个文件，发现可以用“WinRAR打开”，于是笔者就用WinRAR打开了，发现里面含有两个文件——我的照片.gif和server.exe，可以肯定这server.exe就是木马，也就是朋友盗传奇世界号的罪魁祸首。

  
　　这样在解压缩前将会打开我的照片.gif这个文件，造成朋友对文件判断的假象，会认为它就是一个图片文件，而释放完以后便会自动运行木马（即server.exe）。在“模式”标签的“缄默模式”中选择“全部隐藏”，“覆盖方式”中选择“覆盖所有文件”，在“文字和图标”标签的“自定义SFX图标”，载入刚才所准备的图片文件的ico文件，然后点击“确定”即可，这样即天衣无缝的制作了一个捆绑图片的木马。当打开这个文件时，会先运行图片文件，再自动打开木马文件，中间不会出现任何提示。　　

　　　　注：希望广大朋友不要进行非法用途，在这里解密木马捆绑是希望大家了解其原理。

有这么厉害么？

挺详细的啊