一、RM、RMVB文件中加入木马的方式
' }7 n- Q4 f4 r6 I* u; w
Helix Producer Plus是一款图形化的专业流媒体文件制作工具,这款软件把其他格式的文件转换成RM或RMVB格式,也可以对已存在的RM文件进行重新编辑,在编辑的同时,我们可以把事先准备好的网页木马插入其中。这样只要一打开这个编辑好的媒体文件,插入在其中的网页木马也会随之打开,甚至还能控制网页木马打开的时间,让网页木马更隐蔽。
, c# M1 H) f) Y9 ?1 f' T
9 w/ D: U- H2 L% c6 M$ `太原理工大学论坛[龙城水秀]二、WMV、WMA文件中加入木马的方式
$ y9 ?8 g5 t& U. I6 S' B. Z太原理工大学论坛[龙城水秀]
9 F; s( B3 P W0 @4 A9 M' C; ] 对于WMA、WMV文件,是利用其默认的播放器Windows Media Player的“Microsoft Windows媒体播放器数字权限管理加载任意网页漏洞”来插入木马。当播放已经插入木马的恶意文件时,播放器首先会弹出一个提示窗口,说明此文件经过DRM加密需要通过URL验证证书,而这个URL就是事先设置好的网页木马地址,当用户点击“是”进行验证时,种马便成功了。和RM文件种马一样,在WMV文件中插入木马我们还需要一样工具――WMDRM打包加密器,这是一款可以对WMA、WMV进行DRM加密的文件,软件本身是为了保护媒体文件的版权,但在攻击者手中,便成了黑客的帮凶。
清泽论坛-太原理工大学网络家园+ |5 ~6 ~/ N. h) M( Z
) l6 x! Z0 b8 _三、防御方法
& \' c- i; c7 h) \2 g2 c& x太原理工大学|太原理工大学论坛|太原理工大学BBS www.tyutbbs.com6 n4 r* n- \% p& J; w' U. {7 Z; Q
1.看影片之前,用Helix Producer Plus 9的rmevents.exe清空了影片的剪辑信息,这样就不会出现指定时间打开指定窗口的事件了。(适合RM木马)
太原理工大学|太原理工大学论坛|太原理工大学BBS8 I9 k. d4 p+ R1 {1 i6 n4 K
2.升级所有的IE补丁,毕竟RM木马实际上也是靠IE漏洞执行的。(适合RM木马)
0 a+ @' L+ M7 a' i' _
3.用网络防火墙屏蔽RealPlayer对网络的访问权限。(适合RM木马)
太原理工大学,太原理工大学论坛. E/ w* ]* ]7 m3 N# r% k
4.换其他播放器,如:梦幻鼎点播放器、暴风影音、Mplayer等。(适合两款木马)
太原理工大学论坛[龙城水秀]7 X5 @" v6 ?% k2 T5 J
5.及时升级杀毒软件的病毒库,升级两个媒体播放软件的补丁。(适合两款木马)
" |; y2 @ y$ H: ~! Q* ?( L太原理工大学,太原理工大学论坛太原理工大学论坛[龙城水秀]* W2 J- v1 X w+ }
, W6 W7 m! K" k7 o7 i& Y, ?, a太原理工大学,太原理工大学论坛
0 z4 e; ~! Q, N6 S$ n+ y0 v
?: G! ]. X, D f6 d# d9 |- Y太原理工大学,太原理工大学论坛职业培训
