昨天，同学小毛猴急地找到我：“我的电脑莫名其妙地中了木马病毒，好像变成了别人控制的肉鸡。你快帮我看看吧!”平时这家伙对电脑安全还是有点意识呀，怎么会中毒呢?我仔细一问，原来他从网上下载了一个RAR压缩包的软件。点击后没打开，提示有错误，此后系统就变得不正常了。RAR压缩包带毒的事情我以前也遇到过不少，但它们多是利用其自解压特性附带运行了木马。而小毛这次碰到的显然不是这类情况。
　　
　　小小漏洞，木马捆绑玩出新花样
　　
　　我找小毛拷来那个RAR压缩包在虚拟机中测试，点击后WinRAR报错，看不出有什么不妥，仿佛只是因为下载不完整而导致压缩包出错。经过仔细研究后，我才发现它压根儿不是什么软件的压缩包，其本身就是黑客利用WinRAR的一个溢出漏洞制作的捆绑木马!
　　下面我模拟一下此黑客的手法。首先，下载其专用的溢出漏洞工具rar.exe，在系统的命令行窗口中输入并运行它，可以看到如图1所示的参数。然后，用它捆绑木马，其命令语法为：rar*.exe(*.exe为准备好的木马文件)，简单吧?我在此采用了免杀版的“灰鸽子”木马，命令完成后生成一个Oday.zip文件。最后，把这个文件改名为常用软件的RAR压缩包，如“ACDSee 9.0绿色版.tar”，再通过网站、QQ或论坛等途径将它发布。就这样，当不明真相的人下载并点击这个所谓的软件压缩包时，其电脑中的WinRAR就会提示出错，然后木马就利用WinRAR的溢出漏洞植入电脑了。事实证明，小毛就是中了此招!
　　因为木马文件是在后台悄悄运行的，大家看不到，所以为了让大家能更直观地看到，我将免杀版的“灰鸽子”木马文件用系统自带的“计算器”来代替，即calc.exe。按照前面的方法，同样生成一个Oday.zip文件。我将该文件发送到小毛的电脑中让他打开，小毛不久便回话：“打开先是报错，然后‘计算器’自动运行了。”他还抓图向我证实，如图2。幸好只是“计算器”，要是木马这家伙又遭殃了，呵呵!
　　
　　我统计了一下，在W nnRAR 3.0～3.6BETA6中均存在这个本地堆栈缓冲区溢出漏洞。我用WinRAR 3.71也测试了，虽然也会提示出错，但木马不能运行。由于WinRAR是大家电脑中最不注意升级的软件之一，因而虽然现在其最新版本是3.71，但绝大部分电脑中还是装的3.6甚至更低的版本。小毛就是因为没有及时升级WinRAR，从而让自己的电脑被黑客变成了肉鸡。
　　
　　花样再多也没用，木马扫光
　　
　　“那我的电脑现在怎么办呢?”小毛急切地问道。“简单呀，这玩意儿只是在木马植入电脑的方式上耍了点小聪明，已经在电脑中落户的木马你用杀毒软件去杀就行了，不行就换几款有杀木马功能的安全小软件。”我向他介绍方法，“要说预防嘛，别忘了把WinRAR升级到3.71版本及更高版本啊。另外别太依赖杀毒软件的实时监控功能，有些做过免杀处理的木马它拦不住。还有一句老话：不明的文件不要太好奇，QQ或网页中某MM的‘靓照.rar’，或‘我刚拍的写真.rar’一类的链接最好不要乱点和下载。”
　　最后再透露一个小窍门：碰到不熟悉的RAR压缩包，你可以用鼠标右键去点击它，如果没有看到“用WinRAR打开”这类的菜单项，就要多个心眼了。