WinRAR解压缩软件在中国有非常大的保有量，中国也是WinRAR的重要市场。不过最近卡巴斯基实验室的研究报告却让我们惊出一身冷汗，某些来源的WinRAR和TrueCrypt安装程序会在我们的电脑中植入恶意程序，窃取电脑硬盘信息和隐私人信息。

矛盾之争

WinRAR采用AES-256位加密技术对文件进行加密，TrueCrypt则是一个全盘加密工具。两者都对文件提供强大、可靠的加密。照理说，不应该出现什么问题的啊。但问题确实发生了。

据卡巴斯基实验室的报告称（报告见文末链接），他们在WinRAR和TrueCrypt的安装程序中发现了一个来自StrongPit团队的新恶意程序，这个程序会在用户安装后启动。

对于StrongPit，相信大家应该是有耳闻，已经在黑客行业耕耘多年，而最近，他们又迷上了用户的加密工具。这个团队主要是采用Watering-Hole、感染安装程序、以及恶意程序等对用户的加密软件进行攻击，也算是一个老油条了。该团队曾在过去发起过0-day攻击。通过对他们的研究发现，这个团队存在以下特点：

1.决定无比正确，

2.资源十分丰富，

3.而且方式较新，

4.完全不计后果。

如何实现攻击？

StrongPity通过建立一个与合法网站相似度极高的网站下载站点，欺骗用户下载含有恶意程序的加密应用，攻击者在数据加密没有完成之前就获得了完整的数据。

除了基本的钓鱼攻击外，攻击者甚至还劫持了WinRAR和TrueCrypt的相关域名，替换了WinRAR和TrueCrypt安装程序文件的原有链接。如果用户点击了这个下载链接，就会在神不知鬼不觉中下载恶意程序。一旦恶意程序被安装，它就会控制整个系统，进而获得各种敏感数据。

卡巴斯基表示：

在今年的攻击中，StrongPity抛弃了以往的ICS或SCADA攻击。而是通过模仿WinRAR的合法网站建立了一个域名为ralrab.com的网站，然后将合法网站的推荐按钮链接到含有恶意程序的网站上，让用户下载含有恶意程序的安装软件。当然，其他链接则正常链接到合法软件。

　　StrongPity提供了32位和64位的法语和荷兰语版本供下载：

hxxp://www.ralrab[.]com/rar/winrar-x64-531.exe

hxxp://www.ralrab[.]com/rar/winrar-x64-531fr.exe

hxxp://www.ralrab[.]com/rar/winrar-x64-531nl.exe

hxxp://www.ralrab[.]com/rar/wrar531.exe

hxxp://www.ralrab[.]com/rar/wrar531fr.exe

hxxp://www.ralrab[.]com/rar/wrar531nl.exe

hxxp://ralrab[.]com/rar/winrar-x64-531.exe

hxxp://ralrab[.]com/rar/winrar-x64-531nl.exe

hxxp://ralrab[.]com/rar/wrar531fr.exe

hxxp://ralrab[.]com/rar/wrar531nl.exe

hxxp://ralrab[.]com/rar/wrar53b5.exe

　　ralrab.com上含有恶意程序的安装文件

StrongPity的这种下载程序标榜着“非同寻常的数字证书”，但是他们并没有重用这种虚假的数字证书。这种程序的下载组件包括一个后门、键盘记录器、数据盗取器和其他的软件程序，包括putty SSH客户端、服务器源代码分析（filezilla FTP）客户端、Wnscp安全文件传输程序和远程桌面客户端。

范围广，危害大

卡巴斯基实验室的报告数据显示，今年就有超过1000种系统被这种程序影响。影响范围也比较广，欧洲、中东甚至非洲都未能幸免。意大利、土耳其、比利时、阿尔及利亚和法国是其中受影响最为严重的。

　　winrar[.]it StrongPity component geolocation distribution

在几乎同一时间内，有超过60个访客发现他们的网站从winrar.be变为了ralrab.com，而且都是位于一个国家。在5月25至6月初这段时间内，受害国家主要集中为阿尔及利亚、摩洛哥、荷兰、加拿大、科特迪瓦和突尼斯。

　　winrar[.]be StrongPity component geolocation distribution

这个团队在2015年年底才开始部署Truecrypt-themed 的Watering hole，但在今年的夏末，这种攻击方式就已经开始暴发。他们建立了一个直接从TrueCrypt的合法网站拉取信息的网站。7月中旬到9月初，很多土耳其和荷兰的用户发现他们的网站从tamindir.com导向了true-crypt.com。

tamindir[.]com to true-crypt[.]com poisoned TrueCrypt installer redirects

而在该网站（true-crypt.com）的底部，也有一些链接指向含有恶意程序的安装文件：

hxxp://www.true-crypt[.]com/download/TrueCrypt-Setup-7.1a.exe

hxxp://true-crypt[.]com/files/TrueCrypt-7.2.exe

WinRAR的情况则有点特殊。黑客并不是直接将WinRAR的网站导向黑客控制的网站，而是劫持了合法网站winrar.it，将受害者引导至含有恶意程序版本的网站。winrar.it对意大利影响最为严重，其他欧洲国家也受到了一定的影响；而winrar.be则对加拿大、荷兰等国家造成了影响。

　　Download page, winrar[.]it

在卡巴斯基研究人员的进一步测试中发现，这个恶意下载程序不仅能让黑客控制系统，更能让他们窃取硬盘里的内容，同时，还能下载其他的恶意程序来窃取用户的联系人信息。换句话说，只要他们愿意，你的电脑就没有秘密，他们可以随时检索你的私人数据和交流信息。所以，这种程序影响是深远的。

借用卡巴斯基研究员Kurt Baumgartner的话来说就是“WinRAR的经销商非常幸运，因为这个恶意程序已经被移除。而且它是通过伪安装程序链接到他们的网站的。”

　　一个被通过winrar安装程序传播的网站

尽管WinRAR已经将它们移除，但某个TrueCrypt经销商的网站还能在受害者的设备中安装这种恶意程序。这个恶意程序通过经销商的网站已经在土耳其扩散并影响了相当多的用户。

　　如何应对？

我们中国有句老叫做“兵来将挡水来土掩”，既然事情已经发生了，我们就要在行动中注意。

卡巴斯基的安全团队也给了我们衷告：

“When visiting sites and downloading encryption-enabled software, it has become necessary to verify the validity of the distribution site and the integrity of the downloaded file itself. Download sites not using PGP or strong digital code signing certificates need to re-examine the necessity of doing so for their own customers”。

大概就是，在浏览或者下载可加密站点时，必须要对网站有效性和文件的完整性进行验证，养成良好的习惯。而对于下载站点来说，最好是采用PGP协议和强数字密码签名来保护用户的安全。