今天朋友突然想我求救，說網(wǎng)絡(luò)游戲傳奇世界的號被盜了，由于朋友是在家上網(wǎng)，排除了在公共場所帳號和密碼被別他人瞟視的可能。據(jù)朋友所說，在被盜的前一個多小時，在網(wǎng)上下載了一個網(wǎng)友的照片，并打開瀏覽了，但是出現(xiàn)的確實是網(wǎng)友的照片，并且是用“Windows　圖片和傳真查看器”（朋友家是XP系統(tǒng)）打開的，這也可以肯定一定是圖片文件。朋友還告訴筆者后綴名是.gif，很顯然是圖片文件，朋友的電腦也沒有安裝殺毒軟件，并且最重要的是那個文件還沒有刪。
筆者便讓朋友把那個文件通過ＱＱ發(fā)了過來，發(fā)送的時候筆者在ＱＱ顯示文件名中發(fā)現(xiàn)了那個文件并不是gif文件，而是exe文件，文件名是：我的照片.gif.exe，并且它的圖標也是圖片文件的圖標，見圖1。[attach]158862[/attach]

筆者認為朋友的電腦應(yīng)該打開了“隱藏已知文件類型的擴展名”（大家可以在“我的電腦”菜單中“工具→文件夾選項→查看→高級設(shè)置”中設(shè)置，見圖2，
[attach]158863[/attach]
所以告訴我后綴名是gif。筆者無意中右點了下這個文件，發(fā)現(xiàn)可以用“WinRAR打開”，于是筆者就用WinRAR打開了，發(fā)現(xiàn)里面含有兩個文件——我的照片.gif和server.exe，可以肯定這server.exe就是木馬，也就是朋友盜傳奇世界號的罪魁禍首。




由于可以直接用WinRAR打開，筆者斷定它就是由WinRAR制作的，現(xiàn)在筆者就開始解密它的制作過程。首先要有圖片文件的ico（圖標）文件（可以使用其他軟件提取，筆者就不在這里講述詳細過程了），如圖3。

[attach]158864[/attach]把圖片文件和木馬都選定，右點，選擇“添加到檔案文件”（WinRAR的選項），見圖4，

[attach]158865[/attach]

在“檔案文件名”那輸入壓縮后的文件名，比如：我的照片.gif.exe，后綴如果為.exe就可以直接執(zhí)行，如果不是.rar就會打開WinRAR，所以這里最后的后綴為.exe，根據(jù)自己的需要選擇“壓縮方式”，然后點擊“高級”標簽，選擇“SFX　選項”，見圖5，
[attach]158866[/attach]
在“釋放路徑”中填入你需要解壓的路徑，筆者這里填的是“%systemroot%\temp”（不包括引號），表示解壓縮到系統(tǒng)安裝目錄下的temp（臨時文件）文件夾下，并且在“安裝程序”的“釋放后運行”輸入“server.exe”（不包括引號），在“釋放前運行”輸入“我的照片.gif”（不包括引號）。






這樣在解壓縮前將會打開我的照片.gif這個文件，造成朋友對文件判斷的假象，會認為它就是一個圖片文件，而釋放完以后便會自動運行木馬（即server.exe）。在“模式”標簽的“緘默模式”中選擇“全部隱藏”，“覆蓋方式”中選擇“覆蓋所有文件”，在“文字和圖標”標簽的“自定義SFX圖標”，載入剛才所準備的圖片文件的ico文件，然后點擊“確定”即可，這樣即天衣無縫的制作了一個捆綁圖片的木馬。當打開這個文件時，會先運行圖片文件，再自動打開木馬文件，中間不會出現(xiàn)任何提示。
注：希望廣大朋友不要進行非法用途，在這里解密木馬捆綁是希望大家了解其原理。