iexpress全力打造“免檢”木馬
IExpress小檔案
出身:Microsoft
功能:專用於製作各種 CAB 壓縮與自解壓縮包的工具。由於是Windows自帶的程式,所以製作出來的安裝包具有很好的相容性。它可以幫助木馬傳播者製造不被防毒軟體查殺的自解壓包,而且一般情況下還可偽裝成某個系統軟體的補丁(如IE的hotfix)來迷惑人。到哪裡尋找永遠都不會被查殺的捆綁方法或工具?遠在天邊,近在眼前。可千萬別忘了與你朝夕相處的Windows。此次所要介紹的捆綁工具就是Windows自帶的一個小巧的軟體IExpress(適用於2000和XP系統)。
原理
IExpress使用了多種不同的自解壓縮檔案技術對軟體更新檔案進行打包,這些自解壓包能夠自動執行程式包中包含的EXE程式。IExpress技術是Microsoft使用的一項技術,用於為某些Microsoft Internet Explorer版本、某些Windows版本以及其他多種產品建立軟體更新程式包。
如何確定某個軟體更新程式包是否使用了IExpress呢?方法如下:
1.右鍵單擊該程式包,然後單擊“屬性”。
2.在“常規”選項卡中,檢視“描述”。使用了IExpress技術的軟體更新程式包中會包含“Win32 Cabinet Self-Extractor”字樣。
實際操作
在這一部分,筆者將以例項的形式為大家詳細講解捆綁木馬的整個過程。
第一步
在“執行”對話方塊中輸入IExpress就可啟動程式(圖1)。
在開始的時候會有兩個選項供你選擇,一個是建立新的自解壓檔案(Create new Self Extraction Directive file),另一個是開啟已經儲存的自解壓模板“.sed”檔案(Open existing Self Extraction Directive file)。我們應該選擇第一項,然後點選“下一步”按鈕。
第二步
接下來選擇製作木馬自解壓包的三種打包方式(圖2),它們分別是建立自解壓並自動安裝壓縮包(Extract files and run an installation command)、建立自解壓壓縮包(Extract files only)和建立CAB壓縮包(Create compressed files only)。
因為我們要製作的是木馬解壓包,所以應該選擇第一項。在輸入壓縮包標題後點選“下一步”按鈕。
第三步
在“確認提示”(Confirmation prompt)這一環節,軟體會詢問在木馬程式解包前是否提示使用者進行確認,由於我們是在製作木馬程式的解壓包,當然越隱蔽越好,選擇第一項“不提示”(No prompt),這麼做的目的是讓中招人毫無防備。點選“下一步”按鈕,在接下來的新增“使用者允許協議”(License agreement)中新增一個偽裝的使用者協議迷惑中招者,選擇“顯示使用者允許協議”(Display a license),點選“Browse”選擇一份編輯好的TXT文件,此文件可以用微軟公司的名義來編輯,設定完畢後點選“下一步”。這一步的目的是迷惑對手並隱藏木馬安裝的過程。
第四步
現在,我們就進入了檔案列表視窗(Packaged files)。點選該視窗中的“Add”按鈕新增木馬和將要與木馬程式捆綁在一起的合法程式。根據剛才編輯的協議檔案的內容新增合法程式。例如,你製作的協議和IE補丁包相關,那麼你就可將木馬和一個正常的IE補丁包新增進來。
隨後進入安裝程式選擇視窗,指定解壓縮包開始執行的檔案(Install Program)和安裝結束後執行的程式(post install command)。例如,在Install Program內設定正常的IE補丁包先執行,此時木馬並未執行,在中招者看來的確是一個IE補丁包。在post install command內設定木馬程式,這樣在IE補丁包安裝完畢時,木馬程式將會在後臺執行,我們的目的也就達到了。
第五步
接下來選擇軟體在安裝過程中的顯示模式(Show window)。由於我們的木馬是和合法程式捆綁在一起的,所以選擇“預設”(Default)即可。接下來進行提示語句(Finished message)的顯示設定,由於我們做的是木馬捆綁安裝程式,當然應該選擇“No message”。
第六步
上述設定完成後,接著設定自解壓程式的儲存位置和名稱。在這裡要選擇“Hide File Extracting Progress Animation from User”,以便隱藏解壓縮過程,有助於隱藏某些木馬程式啟動時彈出的命令提示框。最後,設定在軟體安裝完成後是否重新啟動(Configure reboot),可以根據實際需要來選擇。如果你所用的木馬是“即插即用”的,那麼就選擇“No reboot”;如果所採用的木馬用於開啟終端服務,那麼可選擇“Always reboot”,同時選擇“重新啟動前不提示使用者”(Do not prompt user before reboot)。
在儲存剛才所做的設定後點選“下一步”按鈕,即可開始製作木馬自解壓程式。整個製作過程是在DOS下進行的,在完成度達到100%後會彈出提示視窗,點選“完成”,木馬程式與合法程式的捆綁工作就完成了(格式為EXE),直接雙擊即可執行。你再用防毒軟體查一查。怎麼樣?已經完全不會被查出來了吧。
現在還等什麼?趕快利用“木馬屠城”介紹過的網頁木馬傳播技術或木馬電子書技術釋出你的木馬去吧。當然,你也可以把它作為IE的重要補丁傳送給別人。
不用第三方工具,無需過多的加殼偽裝,讓“Windows”來為我們服務,為我們捆綁木馬,豈不快哉。
防範措施
可以先檢查可疑的程式包是否採用了IExpress技術(“原理”部分已介紹)。如果採用了IExpress技術,那麼你就得留心了,此時可以進入命令提示符下使用“IExpress /c”命令來解壓縮檔案(不進行安裝)以檢查程式包中是否有木馬,同時還可加上引數“/t:path”指定解壓路徑。
編後:
普通使用者應該提高警惕了,很多木馬製作者瞭解到使用者對漏洞的恐懼,利用使用者急著打最新補丁的心理藉機入侵。在看似合法的補丁程式中,極有可能隱藏著木馬程式。所以,在此提醒大家,千萬不要在作業系統和軟體的非官方站點下載補丁程式包,因為這些程式包很有可能是被捆綁了惡意程式的虛假程式包。
本文轉自 蕭湘月 51CTO部落格,原文連結:http://blog.51cto.com/sniffer/24768,如需轉載請自行聯絡原作者
相關文章
- 從剖析cs木馬生成到開發免殺工具
- BetaBot 木馬分析
- 木馬逆向分析
- 木馬學習
- 用命令檢查電腦是否被安裝木馬(轉)
- 快速定位挖礦木馬 !
- Free Star木馬分析與追溯
- 黑狐”木馬分析報告
- 利用msfvenom生成木馬檔案
- 盜號木馬分析報告
- 遭遇 木馬 srpcss.dllRPCCSS
- 木馬問題解決方案
- 貝殼木馬專殺工具怎麼用 貝殼木馬專殺工具使用教程
- Astaroth木馬新變種來了,可繞過防毒軟體檢測AST防毒
- 微信小程式swiper旋轉木馬微信小程式
- [病毒木馬] 檔案自刪除
- 記錄一次木馬排查
- 利用DNS隧道通訊木馬分析DNS
- linux下查詢php木馬LinuxPHP
- 巧設密碼氣死木馬密碼
- WindowsApache下防PHP木馬設定WindowsApachePHP
- 區別木馬與病毒,以及識別與防治木馬的方法
- Redis漏洞攻擊植入木馬逆向分析Redis
- 黑暗幽靈(DCM)木馬詳細分析
- Python編寫簡易木馬程式Python
- 程式猿生存指南-52 旋轉木馬
- 萌新之php一句話木馬PHP
- CrossRAT 木馬通殺 Windows、MacOS、LinuxROSWindowsMacLinux
- 分離帶木馬檔案的方法
- 用工作管理員揪出暗藏的木馬
- 比特幣暴漲引發挖礦木馬成倍增長,企業如何衝破“木馬圍城”?比特幣
- 全運會開幕!天翼雲全力打造“智慧賽事”
- 貴陽高新區全力打造大資料發展新高地大資料
- 竊取加密貨幣的新型木馬:InnfiRAT加密
- 怎麼清理webshell木馬後門檔案Webshell
- 謹防垃圾郵件,小心感染Emotet木馬
- 伺服器SSH後門木馬查殺伺服器
- 教你如何找到執行緒插入式木馬執行緒