一些别有用心的人曾利用WinRAR捆绑木马入侵别人的电脑,获取别人的隐私。没想到,这种事笔者居然也碰上了,不过不是木马入侵,而是被WinRAR自解压文件破坏了Windows XP操作系统。
“喜”中中招
一天,笔者收到一封陌生人的邮件,邮件附件附带了一个名为“电脑技巧100招”的WinRAR自解压格式文件。对于喜爱学习电脑技巧的笔者来说,当然是高兴万分,迫不及待地赶紧把它保存到桌面,在用瑞星进行常规杀毒确认无毒后打开文件,弹出一个自解压对话框,笔者没有注意细看,单击“确定”释放文件。这时,硬盘指示灯一阵狂闪,突然冒出一个如图1所示的消息框。笔者顿感不妙,立即关机。重新开机,屏幕提示“因以下文件的损失或丢失,Windows无法启动,system32hal.dll,请重新安装以上文件的拷贝”。很显然,电脑的系统文件遭到WinRAR自解压文件的破坏,因此无法启动,必须重新安装操作系统。
“烦”中破招
无奈,笔者只好找出XP安装光盘进行覆盖安装。经过半个多小时的等待,电脑又复活了。笔者认真查看了硬盘,幸好没有发现其他文件丢失的现象。用瑞星查毒,也没有发现病毒。看到桌面上的“电脑技巧100招.exe”文件笔者是又气又恨,更多地是激发了笔者对它的兴趣。
再次双击“电脑技巧100招.exe”文件,出现自解压文件对话框(图2),从对话框可以看出解压的目标文件夹为系统文件夹。
难怪系统会出现问题,原来WinRAR将压缩包里的文件解压到系统文件夹中了。是什么文件功能竟如此强大,笔者想通过WinRAR软件一探究竟。右击该文件,在弹出菜单选择“用WinRAR打开”项,打开WinRAR主程序窗口。笔者注意到,窗口左侧仅列出了一个“电脑技巧100招.doc”的Word文档。而窗口右侧的几行自解压脚本命令引起了笔者的注意,代码第三行就是Delete删除命令,删除解压路径下的所有文件(图3),也正是这几行代码破坏了电脑操作系统。
这几行代码究竟是怎样产生的呢?笔者对WinRAR软件作了一番研究,终于找到了答案。
首先,在任意一个文件上右击鼠标,选择弹出菜单中的“添加到压缩文件”,出现压缩设置对话框。在常规选项中勾选“创建自解压格式压缩文件”。然后,切换至“高级”选项卡,单击“自解压选项”按钮打开“高级自解压选项”对话框。在对话框的常规选项卡的解压路径中输入“C:Windows”,再切换至“高级”选项卡,你会发现第一个选项便是“删除”,在此文本框中输入“*.*”,确定。这样,一个可以破坏Windows操作系统的WinRAR自解压文件就创建完成。只要使用者不注意,在默认路径中释放了该文件,就跟笔者一样中了圈套。
“乐”中支招
这种自解压格式的WinRAR文件,只要取一个好文件名一般不会引起使用者的疑心,即使用杀毒软件扫描也查不到病毒,隐蔽性极高。所以,比起病毒和木马用户更容易上当受骗。
不过,对付这种文件也不是一点办法也没有。只要注意了以下两点,就可以杜绝此类现象再次发生。一不要轻意接收陌生人的邮件或QQ文件;二如果遇到“来历不明”的WinRAR自解压文件时,一定要用WinRAR软件打开,查看文件是否包含自解压脚本命令,确认没有恶意脚本后再进行解压使用。