WinRAR解壓縮軟件在中國有非常大的保有量，中國也是WinRAR的重要市場。不過最近卡巴斯基實驗室的研究報告卻讓我們驚出一身冷汗，某些來源的WinRAR和TrueCrypt安裝程序會在我們的電腦中植入惡意程序，竊取電腦硬盤信息和隱私人信息。

矛盾之爭

WinRAR采用AES-256位加密技術對文件進行加密，TrueCrypt則是一個全盤加密工具。兩者都對文件提供強大、可靠的加密。照理說，不應該出現什么問題的啊。但問題確實發生了。

據卡巴斯基實驗室的報告稱（報告見文末鏈接），他們在WinRAR和TrueCrypt的安裝程序中發現了一個來自StrongPit團隊的新惡意程序，這個程序會在用戶安裝后啟動。

對于StrongPit，相信大家應該是有耳聞，已經在黑客行業耕耘多年，而最近，他們又迷上了用戶的加密工具。這個團隊主要是采用Watering-Hole、感染安裝程序、以及惡意程序等對用戶的加密軟件進行攻擊，也算是一個老油條了。該團隊曾在過去發起過0-day攻擊。通過對他們的研究發現，這個團隊存在以下特點：

1.決定無比正確，

2.資源十分豐富，

3.而且方式較新，

4.完全不計后果。

如何實現攻擊？

StrongPity通過建立一個與合法網站相似度極高的網站下載站點，欺騙用戶下載含有惡意程序的加密應用，攻擊者在數據加密沒有完成之前就獲得了完整的數據。

除了基本的釣魚攻擊外，攻擊者甚至還劫持了WinRAR和TrueCrypt的相關域名，替換了WinRAR和TrueCrypt安裝程序文件的原有鏈接。如果用戶點擊了這個下載鏈接，就會在神不知鬼不覺中下載惡意程序。一旦惡意程序被安裝，它就會控制整個系統，進而獲得各種敏感數據。

卡巴斯基表示：

在今年的攻擊中，StrongPity拋棄了以往的ICS或SCADA攻擊。而是通過模仿WinRAR的合法網站建立了一個域名為ralrab.com的網站，然后將合法網站的推薦按鈕鏈接到含有惡意程序的網站上，讓用戶下載含有惡意程序的安裝軟件。當然，其他鏈接則正常鏈接到合法軟件。

　　StrongPity提供了32位和64位的法語和荷蘭語版本供下載：

hxxp://www.ralrab[.]com/rar/winrar-x64-531.exe

hxxp://www.ralrab[.]com/rar/winrar-x64-531fr.exe

hxxp://www.ralrab[.]com/rar/winrar-x64-531nl.exe

hxxp://www.ralrab[.]com/rar/wrar531.exe

hxxp://www.ralrab[.]com/rar/wrar531fr.exe

hxxp://www.ralrab[.]com/rar/wrar531nl.exe

hxxp://ralrab[.]com/rar/winrar-x64-531.exe

hxxp://ralrab[.]com/rar/winrar-x64-531nl.exe

hxxp://ralrab[.]com/rar/wrar531fr.exe

hxxp://ralrab[.]com/rar/wrar531nl.exe

hxxp://ralrab[.]com/rar/wrar53b5.exe

　　ralrab.com上含有惡意程序的安裝文件

StrongPity的這種下載程序標榜著“非同尋常的數字證書”，但是他們并沒有重用這種虛假的數字證書。這種程序的下載組件包括一個后門、鍵盤記錄器、數據盜取器和其他的軟件程序，包括putty SSH客戶端、服務器源代碼分析（filezilla FTP）客戶端、Wnscp安全文件傳輸程序和遠程桌面客戶端。

范圍廣，危害大

卡巴斯基實驗室的報告數據顯示，今年就有超過1000種系統被這種程序影響。影響范圍也比較廣，歐洲、中東甚至非洲都未能幸免。意大利、土耳其、比利時、阿爾及利亞和法國是其中受影響最為嚴重的。

　　winrar[.]it StrongPity component geolocation distribution

在幾乎同一時間內，有超過60個訪客發現他們的網站從winrar.be變為了ralrab.com，而且都是位于一個國家。在5月25至6月初這段時間內，受害國家主要集中為阿爾及利亞、摩洛哥、荷蘭、加拿大、科特迪瓦和突尼斯。

　　winrar[.]be StrongPity component geolocation distribution

這個團隊在2015年年底才開始部署Truecrypt-themed 的Watering hole，但在今年的夏末，這種攻擊方式就已經開始暴發。他們建立了一個直接從TrueCrypt的合法網站拉取信息的網站。7月中旬到9月初，很多土耳其和荷蘭的用戶發現他們的網站從tamindir.com導向了true-crypt.com。

tamindir[.]com to true-crypt[.]com poisoned TrueCrypt installer redirects

而在該網站（true-crypt.com）的底部，也有一些鏈接指向含有惡意程序的安裝文件：

hxxp://www.true-crypt[.]com/download/TrueCrypt-Setup-7.1a.exe

hxxp://true-crypt[.]com/files/TrueCrypt-7.2.exe

WinRAR的情況則有點特殊。黑客并不是直接將WinRAR的網站導向黑客控制的網站，而是劫持了合法網站winrar.it，將受害者引導至含有惡意程序版本的網站。winrar.it對意大利影響最為嚴重，其他歐洲國家也受到了一定的影響；而winrar.be則對加拿大、荷蘭等國家造成了影響。

　　Download page, winrar[.]it

在卡巴斯基研究人員的進一步測試中發現，這個惡意下載程序不僅能讓黑客控制系統，更能讓他們竊取硬盤里的內容，同時，還能下載其他的惡意程序來竊取用戶的聯系人信息。換句話說，只要他們愿意，你的電腦就沒有秘密，他們可以隨時檢索你的私人數據和交流信息。所以，這種程序影響是深遠的。

借用卡巴斯基研究員Kurt Baumgartner的話來說就是“WinRAR的經銷商非常幸運，因為這個惡意程序已經被移除。而且它是通過偽安裝程序鏈接到他們的網站的。”

　　一個被通過winrar安裝程序傳播的網站

盡管WinRAR已經將它們移除，但某個TrueCrypt經銷商的網站還能在受害者的設備中安裝這種惡意程序。這個惡意程序通過經銷商的網站已經在土耳其擴散并影響了相當多的用戶。

　　如何應對？

我們中國有句老叫做“兵來將擋水來土掩”，既然事情已經發生了，我們就要在行動中注意。

卡巴斯基的安全團隊也給了我們衷告：

“When visiting sites and downloading encryption-enabled software, it has become necessary to verify the validity of the distribution site and the integrity of the downloaded file itself. Download sites not using PGP or strong digital code signing certificates need to re-examine the necessity of doing so for their own customers”。

大概就是，在瀏覽或者下載可加密站點時，必須要對網站有效性和文件的完整性進行驗證，養成良好的習慣。而對于下載站點來說，最好是采用PGP協議和強數字密碼簽名來保護用戶的安全。