網際論壇 - Powered by Discuz! Board

標題: 〔注意〕病毒偽裝RM影音文件傳播播放軟件成幫兇 [打印本頁]

作者: xyz6803 時間: 2006-10-19 10:07 PM 標題: 〔注意〕病毒偽裝RM影音文件傳播播放軟件成幫兇

病毒偽裝RM影音文件傳播播放軟件成幫兇日期：2005年6月1日

　　近日，江民公司反病毒中心監測到，有國內黑客在網絡上瘋狂發佈經過特殊編輯的rm影音文件。無論用戶使用任何常用播放軟件（如RealPlayer、解霸系列、Winamp等），只要打開此文件時，都會不知不覺地中毒。

　　江民反病毒專家介紹說，此次截獲的惡意rm文件，和2004年9月份以來接連爆出的RealPlayer安全漏洞無關，是通過向rm文件中添加正常事件數據而成的。也正因為如此，除RealPlayer外，當用戶使用其他常用播放軟件（如解霸系列、Winamp等）打開惡意rm文件時，也都會彈出廣告窗口，鏈接惡意網站，造成中毒。

　　據瞭解，rm文件是網絡上最常用的多媒體文件類型之一，給普通rm文件加入彈出廣告功能，操作並不複雜，現在網上已經出現具備類似功能的共享軟件。因此，專家分析認為，此次監測到的惡意rm文件也許只是一個序幕，惡意rm文件很有可能發展成為木馬傳播的另一種常用方式。

　　反病毒專家提醒廣大用戶，除rm後綴的文件外，.rmvb、.ram後綴的文件同樣可能會彈出惡意廣告，連接惡意網址。網上衝浪時，一定不要輕易下載和播放來源不明的.rm影音文件。另外，開啟江民殺毒軟件KV2005木馬一掃光和實時監控功能，也可保護您的系統不受病毒侵害。

RM,WMV木馬的防禦方法

（一）RM、RMVB文件中加入木馬的方式

Helix Producer Plus是一款圖形化的專業流媒體文件製作工具，這款軟體把其他格式的文件轉換成RM或RMVB格式，也可以對已存在的RM文件進行重新編輯，在編輯的同時，我們可以把事先準備好的網頁木馬插入其中。這樣隻要一打開這個編輯好的媒體文件，插入在其中的網頁木馬也會隨之打開，甚至還能控制網頁木馬打開的時間，讓網頁木馬更隱蔽。

（二）WMV、WMA文件中加入木馬的方式

對於WMA、WMV文件，是利用其默認的播放器Windows Media Player的“Microsoft Windows媒體播放器數位管理許可權載入任意網頁漏洞”來插入木馬。當播放已經插入木馬的惡意文件時，播放器首先會彈齣一個提示窗口，說明此文件經過DRM加密需要透過URL驗證證書，而這個URL就是事先設置好的網頁木馬地址，當用戶點擊“是”進行驗證時，種馬便成功了。和RM文件種馬一樣，在WMV文件中插入木馬我們還需要一樣工具——WMDRM打包加密器，這是一款可以對WMA、WMV進行DRM加密的文件，軟體本身是為了保護媒體文件的版權，但在攻擊者手中，便成了黑客的幫兇。

（三）防禦方法

1.看影片之前，用Helix Producer Plus 9的rmevents.exe清空了影片的剪輯資訊，這樣就不會齣現指定時間打開指定窗口的事件了。（適合RM木馬）

2.升級所有的IE補丁，畢竟RM木馬實際上也是靠IE漏洞執行的。（適合RM木馬）

3.用網路防火牆遮罩RealPlayer對網路的訪問許可權。（適合RM木馬）

4.換其他播放器，如：夢幻鼎點播放器、暴風影音、Mplayer等。（適合兩款木馬）

5.及時升級殺毒軟體的病毒庫，升級兩個媒體播放軟體的補丁。（適合兩款木馬）

作者: tsjking 時間: 2007-3-16 04:46 PM
常會下這類的影片檔,之前好像常有這類的消息,因為自己都沒用電腦播放
所以對這個問題比較沒注意,看了這段訊息,以後可要小心了,謝謝分享

作者: xp20060726 時間: 2007-3-16 10:48 PM 標題: 感謝您的分享!

下載是上網正常的途徑,尤其時下年輕人,
歌曲,mp3,影片檔等, 很難防毒侵入,看了
這篇文章後,深深覺得該小心了!!!

作者: jamie 時間: 2007-3-17 02:04 PM
現在連看個影片都不安全了= ="
改天可能連看圖片檔都中毒了>"<

歡迎光臨網際論壇 (http://centurys.net/)