今天朋友突然想我求救，說網絡游戲傳奇世界的號被盜了，由于朋友是在家上網，排除了在公共場所帳號和密碼被別他人瞟視的可能。據朋友所說，在被盜的前一個多小時，在網上下載了一個網友的照片，并打開瀏覽了，但是出現的確實是網友的照片，并且是用"Windows　圖片和傳真查看器"（朋友家是XP系統）打開的，這也可以肯定一定是圖片文件。朋友還告訴筆者后綴名是.gif，很顯然是圖片文件，朋友的電腦也沒有安裝殺毒軟件，并且最重要的是那個文件還沒有刪。今天朋友突然想我求救，說網絡游戲傳奇世界的號被盜了，由于朋友是在家上網，排除了在公共場所帳號和密碼被別他人瞟視的可能。據朋友所說，在被盜的前一個多小時，在網上下載了一個網友的照片，并打開瀏覽了，但是出現的確實是網友的照片，并且是用"Windows　圖片和傳真查看器"（朋友家是XP系統）打開的，這也可以肯定一定是圖片文件。朋友還告訴筆者后綴名是.gif，很顯然是圖片文件，朋友的電腦也沒有安裝殺毒軟件，并且最重要的是那個文件還沒有刪。
 

    筆者便讓朋友把那個文件通過ＱＱ發了過來，發送的時候筆者在ＱＱ顯示文件名中發現了那個文件并不是gif文件，而是exe文件，文件名是：我的照片.gif.exe，并且它的圖標也是圖片文件的圖標，見圖1。筆者認為朋友的電腦應該打開了"隱藏已知文件類型的擴展名"（大家可以在"我的電腦"菜單中"工具→文件夾選項→查看→高級設置"中設置，見圖2，所以告訴我后綴名是gif。筆者無意中右點了下這個文件，發現可以用"WinRAR打開"，于是筆者就用WinRAR打開了，發現里面含有兩個文件――我的照片.gif和server.exe，可以肯定這server.exe就是木馬，也就是朋友盜傳奇世界號的罪魁禍首。

    由于可以直接用WinRAR打開，筆者斷定它就是由WinRAR制作的，現在筆者就開始解密它的制作過程。首先要有圖片文件的ico（圖標）文件（可以使用其他軟件提取，筆者就不在這里講述詳細過程了），如圖3。把圖片文件和木馬都選定，右點，選擇"添加到檔案文件"（WinRAR的選項），見圖4，在"檔案文件名"那輸入壓縮后的文件名，比如：我的照片.gif.exe，后綴如果為.exe就可以直接執行，如果不是.rar就會打開WinRAR，所以這里最后的后綴為.exe，根據自己的需要選擇"壓縮方式"，然后點擊"高級"標簽，選擇"SFX　選項"，見圖5，在"釋放路徑"中填入你需要解壓的路徑，筆者這里填的是"%systemroot%/temp"（不包括引號），表示解壓縮到系統安裝目錄下的temp（臨時文件）文件夾下，并且在"安裝程序"的"釋放后運行"輸入"server.exe"（不包括引號），在"釋放前運行"輸入"我的照片.gif"（不包括引號）。

    這樣在解壓縮前將會打開我的照片.gif這個文件，造成朋友對文件判斷的假象，會認為它就是一個圖片文件，而釋放完以后便會自動運行木馬（即server.exe）。在"模式"標簽的"緘默模式"中選擇"全部隱藏"，"覆蓋方式"中選擇"覆蓋所有文件"，在"文字和圖標"標簽的"自定義SFX圖標"，載入剛才所準備的圖片文件的ico文件，然后點擊"確定"即可，這樣即天衣無縫的制作了一個捆綁圖片的木馬。當打開這個文件時，會先運行圖片文件，再自動打開木馬文件，中間不會出現任何提示。

    注：希望廣大朋友不要進行非法用途，在這里解密木馬捆綁是希望大家了解其原理。