Beveiliger Maarten van Horenbeeck schrijft in het Daemon.be blog dat gerichte aanvallen met een RAR bestand interessant zijn omdat archivers zelden worden geupdate. "Normaal gesproken doe je een softwareupgrade als je daarmee nieuwe functionaliteiten krijgt, of als de software aangeeft dat er een update beschikbaar is", schrijft Van Horenbeeck. Geen van beide redenen gelden voor WinRAR. "Van een archiver verwacht je alleen dat hij bestanden archiveert. Meer hoeft hij niet te doen." In ieder geval bij één aanhoudende aanval op een bedrijf stond WinRAR als doelwit tweede, achter Word.

Zeker oudere versies van WinRAR zijn kwetsbaar. Tijdens zijn onderzoek stuitte Van Horenbeeck op een 'pictures.rar' bijlage die slechts door drie virusscanners (Kaspersky, F-Secure en Ikarus) werd opgemerkt. WinRAR 3.6 weigerde het bestand te openen, maar het oudere 3.4.2 trapte er wel in. Daarmee werd een DarkMoon achterdeur geopend en een keylogger geinstalleerd.

Bron: Techworld