看电影的时候要警惕RM,WMV木马

无知菜鸟

近期在播放一些从网上下载的RMVB或RM文件时，放着放着会自动弹出网页，而且每次放到这个地方就会自动打开网页，如果自动打开的网页是恶意病毒网页就更麻烦了,最糟糕的是目前杀毒软件都发现了这个问题却不知如何解决。

下面就介绍下原理和防御方法

（一）RM、RMVB文件中加入木马的方式

Helix Producer Plus是一款图形化的专业流媒体文件制作工具，这款软件把其他格式的文件转换成RM或RMVB格式，也可以对已存在的RM文件进行重新编辑，在编辑的同时，我们可以把事先准备好的网页木马插入其中。这样只要一打开这个编辑好的媒体文件，插入在其中的网页木马也会随之打开，甚至还能控制网页木马打开的时间，让网页木马更隐蔽。

（二）WMV、WMA文件中加入木马的方式 :

对于WMA、WMV文件，是利用其默认的播放器Windows Media Player的“Microsoft Windows媒体播放器数字权限管理加载任意网页漏洞”来插入木马。当播放已经插入木马的恶意文件时，播放器首先会弹出一个提示窗口，说明此文件经过DRM加密需要通过URL验证证书，而这个URL就是事先设置好的网页木马地址，当用户点击“是”进行验证时，种马便成功了。和RM文件种马一样，在WMV文件中插入木马我们还需要一样工具——WMDRM打包加密器，这是一款可以对WMA、WMV进行DRM加密的文件，软件本身是为了保护媒体文件的版权，但在攻击者手中，便成了黑客的帮凶。


（三）防御方法

1.看影片之前，用Helix Producer Plus 9的rmevents.exe清空了影片的剪辑信息，这样就不会出现指定时间打开指定窗口的事件了。（适合RM木马）

2.升级所有的IE补丁，毕竟RM木马实际上也是*IE漏洞执行的。（适合RM木马）

3.用网络防火墙屏蔽RealPlayer对网络的访问权限。（适合RM木马）

4.换其他播放器，如：梦幻鼎点播放器、暴风影音、Mplayer等。（适合两款木马）

5.及时升级杀毒软件的病毒库，升级两个媒体播放软件的补丁。（适合两款木马）

看够之后希望回复让更多的朋友知道!

33629544

  我受不了了，连Rm中都有木马

ly250094040

这个早知道

不过到现在了杀软还是查不出来吗？？？

lovematrix

吼吼，我现在的媒体播放器不支持插入网页

阿保本

有一个专过滤Rm中木马的软件，

小布什

谢谢楼主的文章，这下我知道怎么处理了，呵呵。

无敌敏敏

原帖由 ly250094040 于 2006-12-21 18:30 发表
这个早知道

不过到现在了杀软还是查不出来吗？？？

对啊~

这种木马很早就有了~

[ 本帖最后由 无敌敏敏 于 2007-1-3 11:56 编辑 ]

其实一般

谢谢提醒了

冰零一刹

开着卡巴看电影吧~

tracydk

顶LS,我也是