WinRAR v3.6以下版本存在安全漏洞[亲测有效]-winrar36位

WinRAR v3.6以下版本存在安全漏洞[亲测有效]    今天，收到网友发来的说明文档（RAR打包），想都没想，就直接点击。谁想，提示文件损坏。第一反应就是，有问题！马上用UE打开此文档，发现文档前几个字节不是Rar。这下，玩完，8成中标了……

    随后，在Winnt和System32目录下，分别发现：

    f40508bd1021e8d49d838b1e8661de02  a.exe
    f40508bd1021e8d49d838b1e8661de02  USERINIS

今天，收到网友发来的说明文档（RAR打包），想都没想，就直接点击。谁想，提示文件损坏。第一反应就是，有问题！马上用UE打开此文档，发现文档前几个字节不是Rar。这下，玩完，8成中标了……

随后，在Winnt和System32目录下，分别发现：

f40508bd1021e8d49d838b1e8661de02 a.exe

f40508bd1021e8d49d838b1e8661de02 USERINIS.exe

fdbf55280156a340270374b9b704d4fe SystemSoft.dll

2e847516a6d3*8*15**91ab326c00e0c n.dll（n为数字）

接着，会生成SoftWare.ttf文件，用来记录用户按键。此文件也在System32目录下。

WinRar.exe -> a.exe(system32) -> n.dll(winnt，n为数字，守护进程、操作系统服务) -> SPOOLSV.EXE(services.exe) -> SystemSoft.dll(system32，HOOK WH_CALLWNDPROC、WH_GETMESSAGE，记录键盘)、USERINIS.exe(system32，自启动项) -> SoftWare.ttf(system32，保存记录)

最后，在质问这位网友时，他始终说自己是无辜的。可是，经我在另一台Win 2003下测试。这个木马，并不会传染其它RAR文件！！！嗨，人心啊……（手工清除方法略）

通告名称：WinRAR压缩处理软件漏洞警讯通告

事件类型：软件漏洞

发现时间：2006/09/04

影响平台：WinRAR v3.00 – v3.60beta6

影响等级：高

建议措施：请更新至WinRAR v3.60 正式版

详细说明：http://xforce.iss.net/xforce/xfdb/27815