看似“普通”压缩包实则隐藏恶意木马

11 月 12 日消息，安全公司 Perception Point 报道，有黑客正在利用一种被称为“ZIP 串联文件”的复杂规避策略针对 Windows 用户发动攻击。

IT之家获悉，所谓“ZIP 串联文件”是指黑客将多个 ZIP 压缩文件合并为一个压缩包，虽然相关文件看起来和标准压缩包无异，但其实际上包含多个中心目录，每个目录指向不同的文件集，部分压缩软件实际上无法处理这种文件包，只会显示首个包文件中的内容，从而能够起到“隐藏”恶意文件效果，为黑客提供了可乘之机。

自动草稿

▲ “ZIP 串联文件”结构

7zip：仅显示压缩包中的第一个 ZIP 文件内容，不过会提示用户文件末尾有多余数据；
WinRAR：能够完整显示所有串接 ZIP 文件的内容，包括隐藏的恶意文件；
Windows 文件资源管理器：对串接 ZIP 文件的支持较差，可能无法正确打开文件或仅显示部分内容。

自动草稿

▲ 例如用户使用 7zip 则无法正确显示压缩包中的所有文件

安全公司表示，在其最近获悉的一起攻击中，黑客通过钓鱼邮件传播一项名为 SHIPPING_INV_PL_BL_pdf.rar 的压缩文件。该文件伪装成普通压缩包，但实际上是通过 ZIP 文件串接技术制作的压缩文件，黑客还故意将文件扩展名改为 **.rar**，误导受害者以为是 RAR 格式文件。

自动草稿

▲ 黑客的钓鱼邮件

如果受害者使用 7zip 解压该文件，仅能看到一个普通的 PDF 文件；而使用 WinRAR 或 Windows 文件资源管理器的用户，则可能会看到隐藏的恶意可执行木马文件，如果受害者触发相关木马文件，便能够导致黑客入侵用户设备。

涉案347万元！全国98万部手机被控制，每月偷偷扣钱……

2024年11月12日，据检察日报报道：“我在营业厅买了一部老人机，没有开通任何手机增值业务，却发现手机在我不知情的情况下订购了一款‘梦网短信’业务，每个月扣6元到10元不等的话费，不到一年扣了60多元钱，我怀疑这部老人机中了病毒。”2023年2月，常州市金坛警方接到多名老人报案。

经过对“自动扣费”手机数据的分析和追踪，警方发现这些手机的网络数据都指向一台架设在深圳的服务器，这些老人机被这台服务器远程操控，导致“自动订购”增值业务。经调查发现，全国竟有98万部手机存在非机主本人订购额外增值业务的情况，涉案金额高达347万元。警方立即赶赴深圳将服务器控制人张伟生抓获，并第一时间提取服务器数据，将服务器关闭。

40岁的张伟生是广东潮阳人，原本从事手机增值服务代理业务。2018年，他在网上购买了一款手机增值服务代码。“这套代码可以通过功能机中的游戏变现，像‘推箱子’‘贪吃蛇’这样的小游戏，玩到一定关卡后，都要用户确认购买后面的关卡才能继续玩。但我发现只要将这套代码植入功能机中，再通过服务器远程发出指令，不需要用户确认，就可以偷偷扣取用户话费，这是一本万利的赚钱机会。”张伟生供述道。

张伟生口中的功能机在市面上主要由老年人使用，这种手机屏幕大、字体大，深受老年群体青睐，被称为“老人机”。不同于智能机，老人机没有便捷的二维码扫码支付功能，只能通过短信订购扣话费的方式进行支付。因此，犯罪分子便有了可乘之机。

手机系统被远程操控

2019年9月，张伟生找到深圳宇舟科技公司负责人李明，该公司是一家主要经营手机增值服务代理和开发手机软件、游戏小程序的网络公司。

张伟生与李明算是旧相识，知道李明手头有很多代理商渠道，便和李明商量干一场“大买卖”：由李明负责联系代理商，并将他们的服务短信、语音电话的服务通道号码、控制指令等参数发送给张伟生，张伟生则通过服务器后台向功能机发出指令，扣取话费，扣除给代理商的费用后，所得利润二人按八二分。李明欣然应允。

2019年10月，张伟生结识了易通达科技公司员工方凯，在喝酒聊天中得知，易通达科技公司是一家专门开发手机主板的公司。张伟生觉得机会就在眼前，告诉方凯只要他将这套代码植入他们公司开发的主板中，就可以等着拿大钱了。方凯听后表示同意，随后将张伟生给他的程序代码偷偷植入公司生产的手机主板上。此后，这些被植入恶意扣费软件的主板被卖给了专门生产老人机的厂家。

张伟生因不懂网络技术，一开始将服务器架设在李明的公司，过了一段时间，担心李明跳过他直接操作管理系统，于是招聘了2名程序员陈贤、朱锡帮他搭建、维护手机销售管理系统。该系统可以控制载有恶意扣费代码的老人机，并能给手机发送短信、屏蔽资费提示、删除短信、拨打语音电话，达到在手机用户不知情的情况下自动订购增值服务、秘密扣取资费的目的。

案件该如何定性

2023年2月9日，张伟生、李明等人因涉嫌非法控制计算机信息系统罪被常州市公安局金坛分局刑事拘留。2月27日，该案被移送至金坛区检察院审查逮捕。

自动草稿

金坛区检察院第一检察部主任刘展对该案进行了全案阅卷，并讯问了犯罪嫌疑人。对于非法控制计算机信息系统罪能否全面评价犯罪嫌疑人的行为，刘展产生了疑虑。

非法控制计算机系统罪是犯罪嫌疑人对国家事务、国防建设、尖端科学技术领域以外的计算机信息系统实施非法控制，情节严重的行为。刘展认为，张伟生将恶意扣费代码植入手机主板，用服务器远程操控手机，屏蔽资费提示、自动发送短信的行为虽然涉嫌非法控制计算机信息系统罪，但在手机用户不知情的情况下通过订购手机增值业务进行套现谋利才是其真正的犯罪目的，手段为目的服务，张伟生的行为用盗窃罪来评价更为准确，李明等人是盗窃罪共犯。通过翻阅刑法及司法解释以及查阅相关判例，刘展坚定了这一观点，决定改变张伟生等人犯罪定性。

2023年3月6日，张伟生、李明等人因涉嫌盗窃罪被金坛区检察院批准逮捕。10月28日，该院以涉嫌盗窃罪对张伟生、李明等人提起公诉。2024年2月6日，张伟生、李明等人盗窃案经江苏省常州市金坛区法院依法审理，张伟生被判处有期徒刑十二年，并处罚金30万元;李明被判处有期徒刑十年，并处罚金18万元。一审判决后，被告人提出上诉。

2024年5月10日，公安机关以方凯、陈贤、朱锡涉嫌盗窃罪移送至检察机关审查起诉。近日，常州市中级法院裁定驳回上诉，维持原判。