Usando WinRAR para descifrar el principio del paquete de troyanos

Hoy, mi amigo de repente quiere que le pida ayuda, diciendo que el número del legendario mundo en línea del juego en línea ha sido robado, porque los amigos navegan por Internet en casa, excluyendo la posibilidad de que otros desprecien la cuenta y la contraseña en lugares públicos. . Según un amigo, más de una hora antes del robo, descargué una foto de un internauta en Internet y abrí la búsqueda, pero de hecho era una fotografía del internauta y estaba usando el "Visor de imágenes y fax de Windows" (amigo Hogar es el sistema XP) abierto, este puede ser un archivo de imagen. El amigo también le dijo al autor que el sufijo es .gif, que obviamente es un archivo de imagen, y la computadora del amigo no tiene instalado un software antivirus, y lo más importante es que el archivo no se ha eliminado.

El autor le pidió al amigo que enviara el archivo a través de QQ. Cuando lo envié, encontré que el archivo en el nombre de archivo de visualización de QQ no es un archivo gif, sino un archivo exe. El nombre del archivo es: mi foto. .gif.exe, y su icono también es un icono para el archivo de imagen, como se muestra en la Figura 1. Creo que la computadora de mi amigo debería abrir la "Ocultar extensión de tipo de archivo conocido" (puede configurarlo en el menú "Mi PC" "Herramientas → Opciones de carpeta → Ver → Configuración avanzada", como se muestra en la Figura 2, así que dígalo Mi sufijo es gif. El autor hizo clic accidentalmente en este archivo y encontró que se puede abrir con "WinRAR", así que lo abrí con WinRAR y encontré que contiene dos archivos: mi foto .gif y server.exe, Es cierto que este server.exe es el troyano, que es el culpable del mundo legendario de los amigos.
Como se puede abrir directamente con WinRAR, el autor concluye que fue creado por WinRAR, y ahora el autor comienza a descifrar su proceso de producción. Para tener un archivo ico (icono) del archivo de imagen (puede usar otro software para extraer, no le diré el proceso detallado aquí), como se muestra en la Figura 3. Seleccione el archivo de imagen y el troyano, haga clic con el botón derecho y seleccione "Agregar al archivo" (Opción WinRAR), vea la Figura 4, ingrese el nombre del archivo comprimido en el "nombre del archivo comprimido", como: mi foto.gif.exe, sufijo Puede ejecutarse directamente para .exe. Si no es.rar, se abrirá WinRAR, por lo que el último sufijo aquí es .exe. Seleccione "método de compresión" según sus necesidades, luego haga clic en la pestaña "Avanzado" y seleccione "Opción SFX". Vea En la Figura 5, complete la ruta de acceso que necesita extraer en la "ruta de lanzamiento", el autor aquí está lleno de "% systemroot% \\ temp" (excluyendo las comillas), lo que indica que el archivo temporal (archivo temporal) se extrae al directorio de instalación del sistema. Debajo de la carpeta, e ingrese "server.exe" (sin las comillas) en "Ejecutar después del lanzamiento", ingrese "My Photo.gif" (sin las comillas) en "Ejecutar antes del lanzamiento".

Esto abrirá mi archivo .gif de fotos antes de descomprimirlo, causando la ilusión de que el amigo juzga el archivo, se considerará como un archivo de imagen y ejecutará automáticamente el troyano (es decir, server.exe) después del lanzamiento. Seleccione "Ocultar todo" en "Modo silencioso" de la pestaña "Modo", "Sobrescribir todos los archivos" en "Modo de superposición" y "Gráfico SFX personalizado" en la pestaña "Texto e iconos". ", cargue el archivo ico del archivo de imagen que acaba de preparar y luego haga clic en" Aceptar "para que se cree un troyano que agrupa la imagen. Cuando se abre el archivo, el archivo de imagen se ejecutará primero y luego se abrirá automáticamente. Documentos, no habrá indicaciones en el medio.

Nota: espero que la mayoría de los amigos no utilicen fines ilegales, aquí para descifrar el paquete de troyanos es para esperar que todos entiendan sus principios.