(一)RM、RMVB檔中加入木馬的方式
Helix Producer Plus是一款圖形化的專業流媒體檔製作工具,這款軟體把其他格式的檔轉換成RM或RMVB格式,也可以對已存在的RM檔進行重新編輯,在編輯的同時,我們可以把事先準備好的網頁木馬插入其中。這樣只要一打開這個編輯好的媒體檔,插入在其中的網頁木馬也會隨之打開,甚至還能控制網頁木馬打開的時間,讓網頁木馬更隱蔽。
(二)WMV、WMA檔中加入木馬的方式
對於WMA、WMV檔,是利用其默認的播放器Windows Media Player的“Microsoft Windows媒體播放器數位許可權管理載入任意網頁漏洞”來插入木馬。當播放已經插入木馬的惡意檔時,播放器首先會彈出一個提示視窗,說明此檔經過DRM加密需要通過URL驗證證書,而這個URL就是事先設置好的網頁木馬位址,當用戶點擊“是”進行驗證時,種馬便成功了。和RM檔種馬一樣,在WMV檔中插入木馬我們還需要一樣工具――WMDRM打包加密器,這是一款可以對WMA、WMV進行DRM加密的檔,軟體本身是為了保護媒體檔的版權,但在攻擊者手中,便成了駭客的幫兇。
(三)防禦方法
1.看影片之前,用Helix Producer Plus 9的rmevents.exe清空了影片的剪輯資訊,這樣就不會出現指定時間打開指定視窗的事件 了。(適合RM木馬)
2.升級所有的IE補丁,畢竟RM木馬實際上也是靠IE漏洞執行的。(適合RM木馬)
3.用網路防火牆遮罩RealPlayer對網路的訪問許可權。(適合RM木馬)
4.換其他播放器,如:夢幻鼎點播放器、暴風影音、Mplayer等。(適合兩款木馬)
5.及時升級殺毒軟體的病毒庫,升級兩個媒體播放軟體的補丁。(適合兩款木馬)
資料來源: http://www.138soft.com/html/art/12/175.htm
