此前win10之家提到迈克菲已经监测到数百种不同的攻击样本,这些攻击全部是针对WinRAR存在的组件库漏洞,当然也没有意外目前这类攻击已开始出现飙升的情况,越来越多的黑客开始利用WinRAR漏洞展开攻击活动,具体攻击手法上也出现八仙过海各显神通的局面,不同黑客利用不同的方式尽可能的诱导用户进行解压操作。
案例1:成人色情图片诱导你打开
360威胁情报中心最新捕获的样本是个让人羞羞的内容,里面各种成人色情图片想必非常吸引男同胞们查看,WinRAR打开后默认只会显示文件名称而不会出现图片预览,当然出于好奇原因你可能会随手点开图片看看,此外WinRAR也不能在没有解压的情况下批量查看图片,所以点开图片后用户想要更快捷的查看就得先解压,如果进行解压则这个恶意的压缩包会释放木马程序到系统启动目录,系统重启后木马程序即可自动执行运行,而即便用户开启UAC账户控制全程也不会有任何感知,黑客可谓是将技术和人性全部用上就为了提高成功率。
案例2:借招聘之名传播木马程序
能够吸引用户点击的除色情图片外还有招聘类的内容,例如在阿拉伯等地区有黑客借招聘之名诱导用户解压,这个压缩文档内含.PDF文档但用户无法直接打开,所以用户可能会习惯性的尝试先完全解压再阅读PDF文档,解压的同时恶意压缩包会释放.VBE脚本到系统启动目录,等系统重启后这个VBE脚本即可实现自动执行运行,成功运行后会利用WindowsPoweshell连接远程服务器下载木马,进而负载更多恶意内容完成对用户的劫持。
最简单的方法就是升级压缩软件:
漏洞虽然存在但毕竟WinRAR和其他压缩软件已经修复,所以应对这类攻击其实最简单的方式就是升级版本,只要成功升级则即便打开这些恶意压缩包也不会触发漏洞,不触发漏洞也就不会在启动目录里被安插木马等。而后续针对此类攻击的漏洞自然还会逐渐增多,建议使用WinRAR的用户点击这里下载安装V5.7版修复漏洞。
