RSS   



  可打印版本 | 推薦給朋友 | 訂閱主題 | 收藏主題 | 純文字版  


 


 
主題: [求助] [問題]請問在appserv底下的unrar.exe是做什麼的?   字型大小:||| 
polarstar
銀驢友〔初級〕
等級: 12等級: 12等級: 12


十週年紀念徽章(二級)  

今日心情

 . 積分: 400
 . 文章: 1565
 . 收花: 2848 支
 . 送花: 4054 支
 . 比例: 1.42
 . 在線: 2894 小時
 . 瀏覽: 41393 頁
 . 註冊: 8197
 . 失蹤: 261
#1 : 2007-4-14 09:20 AM     只看本作者 引言回覆

最近在小弟的appserv/www/appserv目錄底下發現unrar.exe的執行檔!!
請問這個檔案是做什麼用的啊?
很怕被植入木馬



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
watchme
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14
無我

十週年紀念徽章(五級)  

今日心情

 . 積分: 926
 . 文章: 2172
 . 收花: 8002 支
 . 送花: 3872 支
 . 比例: 0.48
 . 在線: 3516 小時
 . 瀏覽: 31393 頁
 . 註冊: 7455
 . 失蹤: 4
 . TWed2k-DVD幫
#2 : 2007-4-14 10:25 AM     只看本作者 引言回覆

依照檔名來看是解 rar 用的.
找台不怕死的電腦複製過去檢查看看. 不然就用 DOS 視窗執行他, 應該可以看到說明.
祝您好運



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
polarstar
銀驢友〔初級〕
等級: 12等級: 12等級: 12


十週年紀念徽章(二級)  

今日心情

 . 積分: 400
 . 文章: 1565
 . 收花: 2848 支
 . 送花: 4054 支
 . 比例: 1.42
 . 在線: 2894 小時
 . 瀏覽: 41393 頁
 . 註冊: 8197
 . 失蹤: 261
#3 : 2007-4-14 10:50 AM     只看本作者 引言回覆


引用:
watchme寫到:
依照檔名來看是解 rar 用的.
找台不怕死的電腦複製過去檢查看看. 不然就用 DOS 視窗執行他, 應該可以看到說明.
祝您好運


後來我在想是不是因為最近在試phpsurveyor的關係(http://twed2k.org/viewthread.php?tid=165058&extra=page%3D1)
因為我發現在appserv/www/appserv目錄底下有個as的檔案
而as裡面寫著~~

get unrar.exe  
get drives.exe  
get stropack.rar  
quit  
而stropack.rar是一個加密過的壓縮檔
裡面有crt的憑證檔!!

所以我在推測,會不會是phpsurveyor登入時的帳號跟密碼管理會用到的東西!!
因為還沒試這一套前,還沒注意到這個檔案

[polarstar 在  2007-4-14 10:54 AM 作了最後編輯]



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記
watchme
銀驢友〔高級〕
等級: 14等級: 14等級: 14等級: 14
無我

十週年紀念徽章(五級)  

今日心情

 . 積分: 926
 . 文章: 2172
 . 收花: 8002 支
 . 送花: 3872 支
 . 比例: 0.48
 . 在線: 3516 小時
 . 瀏覽: 31393 頁
 . 註冊: 7455
 . 失蹤: 4
 . TWed2k-DVD幫
#4 : 2007-4-20 06:16 PM     只看本作者 引言回覆

根據您提供的 code 的確也有點奇, 抓完三個檔案後就直接跳開, 後面有沒有做其他事情, 目前不得而知.
單就 unrar.exe 應該是沒有問題才對, 我想您比較需要關心的是被解開的檔案是否含有木馬. 畢竟經過密碼包裝的壓縮檔, 一般防木馬防毒的程式是偵測不出來, 只能在解開後偵測, 就怕解開後沒有檢察到(應該不會發生吧)
而壓縮檔裡面只有一個憑證檔, 作什麼用途就不得而知了, 因為用途太多, 如果要跟惡意扯上關係的話, 有一種可能, 就是將這個憑證導入信任區, 這樣在執行這個憑證所產生的元件就不會提出警告, 如此就有機會在不知情的狀況下被埋入木馬, 這種可能性也不是沒有, 真的要很小心哪



[如果你喜歡本文章,就按本文章之鮮花~送花給作者吧,你的支持就是別人的動力來源]
本文連接  
檢閱個人資料  發私人訊息  Blog  快速回覆 新增/修改 爬文標記

   

快速回覆
表情符號

更多 Smilies

字型大小 : |||      [完成後可按 Ctrl+Enter 發佈]        

溫馨提示:本區開放遊客瀏覽。
選項:
關閉 URL 識別    關閉 表情符號    關閉 Discuz! 代碼    使用個人簽名    接收新回覆信件通知
發表時自動複製內容   [立即複製] (IE only)


 



所在時區為 GMT+8, 現在時間是 2024-11-26 09:31 AM
清除 Cookies - 連絡我們 - TWed2k © 2001-2046 - 純文字版 - 說明
Discuz! 0.1 | Processed in 0.017966 second(s), 6 queries , Qzip disabled