TWed2k - 軟體求助討論區 - [問題]請問在appserv底下的unrar.exe是做什麼的？

polarstar
銀驢友〔初級〕

今日心情

．積分： 400
．文章： 1565
．收花： 2848 支
．送花： 4054 支
．比例： 1.42
．在線： 2894 小時
．瀏覽： 41393 頁
．註冊： 8009 天
．失蹤： 72 天

#1 : 2007-4-14 09:20 AM 只看本作者	送花 (3) 送出中...

最近在小弟的appserv/www/appserv目錄底下發現unrar.exe的執行檔!!
請問這個檔案是做什麼用的啊？
很怕被植入木馬

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

watchme
銀驢友〔高級〕

無我

今日心情

．積分： 926
．文章： 2172
．收花： 8002 支
．送花： 3805 支
．比例： 0.48
．在線： 3481 小時
．瀏覽： 31092 頁
．註冊： 7267 天
．失蹤： 0 天
． TWed2k-DVD幫

#2 : 2007-4-14 10:25 AM 只看本作者	送花 (4) 送出中...

依照檔名來看是解 rar 用的.
找台不怕死的電腦複製過去檢查看看. 不然就用 DOS 視窗執行他, 應該可以看到說明.
祝您好運

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

polarstar
銀驢友〔初級〕

今日心情

．積分： 400
．文章： 1565
．收花： 2848 支
．送花： 4054 支
．比例： 1.42
．在線： 2894 小時
．瀏覽： 41393 頁
．註冊： 8009 天
．失蹤： 72 天

#3 : 2007-4-14 10:50 AM 只看本作者	送花 (3) 送出中...

引用:

watchme寫到:

依照檔名來看是解 rar 用的.
找台不怕死的電腦複製過去檢查看看. 不然就用 DOS 視窗執行他, 應該可以看到說明.
祝您好運

後來我在想是不是因為最近在試phpsurveyor的關係(http://twed2k.org/viewthread.php?tid=165058&extra=page%3D1)
因為我發現在appserv/www/appserv目錄底下有個as的檔案
而as裡面寫著~~

CODE:

[Copy to clipboard]

get unrar.exe
get drives.exe
get stropack.rar
quit

而stropack.rar是一個加密過的壓縮檔
裡面有crt的憑證檔!!

所以我在推測，會不會是phpsurveyor登入時的帳號跟密碼管理會用到的東西!!
因為還沒試這一套前，還沒注意到這個檔案

[polarstar 在 2007-4-14 10:54 AM 作了最後編輯]

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆

watchme
銀驢友〔高級〕

無我

今日心情

．積分： 926
．文章： 2172
．收花： 8002 支
．送花： 3805 支
．比例： 0.48
．在線： 3481 小時
．瀏覽： 31092 頁
．註冊： 7267 天
．失蹤： 0 天
． TWed2k-DVD幫

#4 : 2007-4-20 06:16 PM 只看本作者	送花 (3) 送出中...

根據您提供的 code 的確也有點奇, 抓完三個檔案後就直接跳開, 後面有沒有做其他事情, 目前不得而知.
單就 unrar.exe 應該是沒有問題才對, 我想您比較需要關心的是被解開的檔案是否含有木馬. 畢竟經過密碼包裝的壓縮檔, 一般防木馬防毒的程式是偵測不出來, 只能在解開後偵測, 就怕解開後沒有檢察到(應該不會發生吧)
而壓縮檔裡面只有一個憑證檔, 作什麼用途就不得而知了, 因為用途太多, 如果要跟惡意扯上關係的話, 有一種可能, 就是將這個憑證導入信任區, 這樣在執行這個憑證所產生的元件就不會提出警告, 如此就有機會在不知情的狀況下被埋入木馬, 這種可能性也不是沒有, 真的要很小心哪

[如果你喜歡本文章，就按本文章之鮮花～送花給作者吧，你的支持就是別人的動力來源]

本文連接

快速回覆