WinRARを使用してTrojan bundlingの原理を解読する

今日、友人が自宅でインターネットを閲覧しているために、オンラインゲームの伝説的な世界が盗まれたと言って、突然私に助けを求めたいと思いました。 。友人によると、私はインターネット上でネチズンの写真をダウンロードしてブラウズを開いたが、それは実際にネチズンの写真であり、それは "Windows Picture and Fax Viewer"（友人）を使っていた。ホームはXPシステムです）これは確かに画像ファイルです。友人はまた、サフィックスが明らかに画像ファイルであり、友人のコンピュータにはウイルス対策ソフトウェアがインストールされていないこと、およびファイルが削除されていないことであることを著者に伝えました。

作成者がQQでファイルを送信するように友人に依頼しましたが、送信したときに、ファイルはgifファイルではなく、QQ表示ファイル名のexeファイルであることがわかりました。図1に示すように、.gif.exeとそのアイコンもイメージファイルのアイコンです。私の友人のコンピュータは「既知のファイルタイプの拡張子を隠す」を開くべきだと思います（図2に示すように、「マイコンピュータ」メニューの「ツール→フォルダオプション→表示→詳細設定」で設定できます）。私のサフィックスはgifです。作者が誤ってこのファイルをクリックして "WinRAR"で開くことができることを発見したので、私はそれをWinRARで開くと2つのファイル - 私の写真.gifとserver.exeを含む - を見つけました。このserver.exeは、友人の伝説的な世界の原因となるトロイの木馬であることは間違いありません。
WinRARで直接開くことができるので、作者はWinRARによって作成されたと結論し、今作者はその制作プロセスを復号化し始めます。図3に示すように、画像ファイルのico（アイコン）ファイルを作成するには（他のソフトウェアを使用して抽出することもできますが、詳しい手順はここでは説明しません）、画像ファイルとトロイの木馬を選択し、右クリックして[アーカイブに追加]を選択します。 （WinRARオプション）、図4を参照してください。圧縮ファイル名を「アーカイブファイル名」に入力してください。例：my photo.gif.exe、拡張子それが.exeのために直接実行されることができますそれが.rarでないならば、ここで最後の接尾辞は.exeです。あなたの必要性に従って「圧縮方法」を選んで、そして次に「Advanced」タブをクリックしてください。図5、「リリースパス」に抽出する必要があるパスを記入してください、ここの作者は「％systemroot％\\ temp」（引用符を除く）で埋められ、一時ファイルがシステムインストールディレクトリに抽出されることを示します。フォルダの下の[リリース後に実行]に "server.exe"（引用符なし）を入力し、[リリース前に実行]に "My Photo.gif"（引用符なし）と入力します。

これは解凍する前に私の写真の.gifファイルを開き、友人がそのファイルを判断したような錯覚を引き起こし、それは画像ファイルと見なされ、リリース後に自動的にこのトロイの木馬（つまりserver.exe）を実行します。 [モード]タブの[サイレントモード]で[すべて隠す]、[オーバーレイモード]で[すべてのファイルを上書き]、[テキストとアイコン]タブで[カスタムSFXチャート]を選択します。 「作成したばかりの画像ファイルのicoファイルをロードしてから「OK」をクリックすると、画像を束ねるトロイの木馬がシームレスに作成されます。ファイルを開くと、まず画像ファイルが実行され、その後トロイの木馬が自動的に開かれます。文書、その間にプロンプ​​トは表示されません。

注意：トロイの木馬のバンドルを復号化するために、大多数の友人が違法な目的に使用しないことを願っています。