xyz6803
一般會員
積分 618
發文 25
註冊 2006-6-20
狀態 離線
|
#1 〔注意〕病毒偽裝RM影音文件傳播 播放軟件成幫兇
病毒偽裝RM影音文件傳播 播放軟件成幫兇 日期:2005年6月1日
近日,江民公司反病毒中心監測到,有國內黑客在網絡上瘋狂發佈經過特殊編輯的rm影音文件。無論用戶使用任何常用播放軟件(如RealPlayer、解霸系列、Winamp等),只要打開此文件時,都會不知不覺地中毒。
江民反病毒專家介紹說,此次截獲的惡意rm文件,和2004年9月份以來接連爆出的RealPlayer安全漏洞無關,是通過向rm文件中添加正常事件數據而成的。也正因為如此,除RealPlayer外,當用戶使用其他常用播放軟件(如解霸系列、Winamp等)打開惡意rm文件時,也都會彈出廣告窗口,鏈接惡意網站,造成中毒。
據瞭解,rm文件是網絡上最常用的多媒體文件類型之一,給普通rm文件加入彈出廣告功能,操作並不複雜,現在網上已經出現具備類似功能的共享軟件。因此,專家分析認為,此次監測到的惡意rm文件也許只是一個序幕,惡意rm文件很有可能發展成為木馬傳播的另一種常用方式。
反病毒專家提醒廣大用戶,除rm後綴的文件外,.rmvb、.ram後綴的文件同樣可能會彈出惡意廣告,連接惡意網址。網上衝浪時,一定不要輕易下載和播放來源不明的.rm影音文件。另外,開啟江民殺毒軟件KV2005木馬一掃光和實時監控功能,也可保護您的系統不受病毒侵害。
RM,WMV木馬的防禦方法
(一)RM、RMVB文件中加入木馬的方式
Helix Producer Plus是一款圖形化的專業流媒體文件製作工具,這款軟體把其他格式的文件轉換成RM或RMVB格式,也可以對已存在的RM文件進行重新編輯,在編輯的同時,我們可以把事先準備好的網頁木馬插入其中。這樣隻要一打開這個編輯好的媒體文件,插入在其中的網頁木馬也會隨之打開,甚至還能控制網頁木馬打開的時間,讓網頁木馬更隱蔽。
(二)WMV、WMA文件中加入木馬的方式
對於WMA、WMV文件,是利用其默認的播放器Windows Media Player的“Microsoft Windows媒體播放器數位管理許可權載入任意網頁漏洞”來插入木馬。當播放已經插入木馬的惡意文件時,播放器首先會彈齣一個提示窗口,說明此文件經過DRM加密需要透過URL驗證證書,而這個URL就是事先設置好的網頁木馬地址,當用戶點擊“是”進行驗證時,種馬便成功了。和RM文件種馬一樣,在WMV文件中插入木馬我們還需要一樣工具——WMDRM打包加密器,這是一款可以對WMA、WMV進行DRM加密的文件,軟體本身是為了保護媒體文件的版權,但在攻擊者手中,便成了黑客的幫兇。
(三)防禦方法
1.看影片之前,用Helix Producer Plus 9的rmevents.exe清空了影片的剪輯資訊,這樣就不會齣現指定時間打開指定窗口的事件了。(適合RM木馬)
2.升級所有的IE補丁,畢竟RM木馬實際上也是靠IE漏洞執行的。(適合RM木馬)
3.用網路防火牆遮罩RealPlayer對網路的訪問許可權。(適合RM木馬)
4.換其他播放器,如:夢幻鼎點播放器、暴風影音、Mplayer等。(適合兩款木馬)
5.及時升級殺毒軟體的病毒庫,升級兩個媒體播放軟體的補丁。(適合兩款木馬)
|
|
2006-10-19 10:07 PM |
|
tsjking
高級會員
積分 6906
發文 982
註冊 2007-1-20
來自 台灣台東
狀態 離線
|
#2
常會下這類的影片檔,之前好像常有這類的消息,因為自己都沒用電腦播放
所以對這個問題比較沒注意,看了這段訊息,以後可要小心了,謝謝分享
|
有下有回真君子!有下無回真小人 |
|
|
2007-3-16 04:46 PM |
|
xp20060726
榮譽會員
隨緣放下,輕安自在.
   
積分 82058
發文 8761
註冊 2006-7-26
來自 無緣大慈,同體大悲.
狀態 離線
|
#3 感謝您的分享!
下載是上網正常的途徑,尤其時下年輕人,
歌曲,mp3,影片檔等, 很難防毒侵入,看了
這篇文章後,深深覺得該小心了!!!
|
|
|
2007-3-16 10:48 PM |
|
jamie
中級會員
積分 1055
發文 73
註冊 2005-9-6
狀態 離線
|
#4
現在連看個影片都不安全了= ="
改天可能連看圖片檔都中毒了>"<
|
|
|
2007-3-17 02:04 PM |
|
|
