木馬傳播者最慣用的手段就是將木馬程序和合法程序捆綁在一起，欺騙被攻擊者。然而，現在殺毒軟件對捆綁類軟件已顯出“咄咄逼人”的態勢，幾乎所有的捆綁類軟件都會被查殺，大大小小的木馬紛紛失效。

　　IExpress小檔案

　　出身:Microsoft

　　功能:專用于制作各種 CAB 壓縮與自解壓縮包的工具。

　　由于是Windows自帶的程序，所以制作出來的安裝包具有很好的兼容性。它可以幫助木馬傳播者制造不被殺毒軟件查殺的自解壓包，而且一般情況下還可偽裝成某個系統軟件的補丁(如IE的hotfix)來迷惑人。

　　到哪里尋找永遠都不會被查殺的捆綁方法或工具?遠在天邊，近在眼前。可千萬別忘了與你朝夕相處的Windows。此次所要介紹的捆綁工具就是Windows自帶的一個小巧的軟件IExpress(適用于2000和XP系統)。

　　IExpress使用了多種不同的自解壓縮文件技術對軟件更新文件進行打包，這些自解壓包能夠自動運行程序包中包含的EXE程序。IExpress技術是Microsoft使用的一項技術，用于為某些Microsoft Internet Explorer版本、某些Windows版本以及其他多種產品創建軟件更新程序包。

　　如何確定某個軟件更新程序包是否使用了IExpress呢?方法如下:

 

　　1.右鍵單擊該程序包，然后單擊“屬性”。

 

　　2.在“常規”選項卡中，查看“描述”。使用了IExpress技術的軟件更新程序包中會包含“Win32 Cabinet Self-Extractor”字樣。

 

　　實際操作

 

　　在這一部分，筆者將以實例的形式為大家詳細講解捆綁木馬的整個過程。

 

　　第一步

 

　　在“運行”對話框中輸入IExpress就可啟動程序(圖1)。

 

                          

 

　　在開始的時候會有兩個選項供你選擇，一個是創建新的自解壓文件(Create new Self Extraction Directive file)，另一個是打開已經保存的自解壓模板“.sed”文件(Open existing Self Extraction Directive file)。我們應該選擇第一項，然后點擊“下一步”按鈕。

 

 

      第二步

 

　　接下來選擇制作木馬自解壓包的三種打包方式(圖2)，它們分別是建立自解壓并自動安裝壓縮包(Extract files and run an installation command)、建立自解壓壓縮包(Extract files only)和建立CAB壓縮包(Create compressed files only)。

 

                      

 

　　因為我們要制作的是木馬解壓包，所以應該選擇第一項。在輸入壓縮包標題后點擊“下一步”按鈕。

 

　　第三步

 

　　在“確認提示”(Confirmation prompt)這一環節，軟件會詢問在木馬程序解包前是否提示用戶進行確認，由于我們是在制作木馬程序的解壓包，當然越隱蔽越好，選擇第一項“不提示”(No prompt)，這么做的目的是讓中招人毫無防備。點擊“下一步”按鈕，在接下來的添加“用戶允許協議”(License agreement)中添加一個偽裝的用戶協議迷惑中招者，選擇“顯示用戶允許協議”(Display a license)，點擊“Browse”選擇一份編輯好的TXT文檔，此文檔可以用微軟公司的名義來編輯，設置完畢后點擊“下一步”。這一步的目的是迷惑對手并隱藏木馬安裝的過程。

        第四步

　　現在，我們就進入了文件列表窗口(Packaged files)。點擊該窗口中的“Add”按鈕添加木馬和將要與木馬程序捆綁在一起的合法程序。根據剛才編輯的協議文件的內容添加合法程序。例如，你制作的協議和IE補丁包相關，那么你就可將木馬和一個正常的IE補丁包添加進來。

隨后進入安裝程序選擇窗口，指定解壓縮包開始運行的文件(Install Program)和安裝結束后運行的程序(post install command)。例如，在Install Program內設置正常的IE補丁包先運行，此時木馬并未運行，在中招者看來的確是一個IE補丁包。在post install command內設置木馬程序，這樣在IE補丁包安裝完畢時，木馬程序將會在后臺執行，我們的目的也就達到了。

　　第五步

　　接下來選擇軟件在安裝過程中的顯示模式(Show window)。由于我們的木馬是和合法程序捆綁在一起的，所以選擇“默認”(Default)即可。接下來進行提示語句(Finished message)的顯示設置，由于我們做的是木馬捆綁安裝程序，當然應該選擇“No message”。