此文章为本站(News.Iva.cn)原创,可以自由转载和传播,但希望能保留本站的作者和信息来源,谢谢!如果大家对此问题或者关于RM木马防御的话题感兴趣,就一起来伊瓦技术论坛讨论吧,地址
http://BBs.Iva.cn
今天访问一个在线播放的rm链接,形式如
http://www.****.com/100.rm,访问后IE直接打开了另外一个站点,初疑为Realone的漏洞,后经过确认,原因分析如下:
用户下载RealPlay文件观看的时候IE自动弹出广告网站,实际上是影片中添加了弹出窗口的事件,事件(events)是rm文件的特性之一。可以让所有观看这些媒体文件的用户百分百的弹出指定网站,(不受目前所有网站弹出页面过滤程序的限制),经过Rm文件事件添加器压缩过的媒体文件,无论用户用何种播放器播放都不会被屏蔽,与用户的主动性没有任何关系,网页是在不知不觉中弹出的,用户无法跳过,无法屏蔽与删除!目前可以完全弹出网页的播放器有:超级解霸系列,RealPlay系列播放器,Winamp播放器系列,Media Player Classic播放器系列,以及其他任何 可以播放Real格式文件的非主流播放器,可以说是几乎没有屏障!目前支持的添加格式有后缀为:RM,RMVB RAM 的所有音品视频文件。(Real文件是目前互联网站上流传最为广泛的流媒体格式)
用户可以安装 RealProducer Plus (Realnetworks的官方产品之一) 来对rm文件进行编辑、制作、修改。其安装目录下的 RealMediaEditor/rmevents.exe 可执行文件正是用来为rm文件插入事件的命令行程序。
添加弹窗事件和清理事件的方法:
你可以任意新建一个文本文件,比如iva_events.txt,文件内容如下:
u 00:00:02.0 00:00:8.0 &&_rpexternal&&
http://news.iva.cn/
其中,u 是事件标志(Flag),表示要在文件中插入的是一个url地址, 第2,第三个字段分别表示起止时间点,单位格式是 小时:分:秒.毫秒 最后一个字段是你要弹出的url的地址 ,_rpexternal 参数表示在外部浏览器打开url,而不是使用缺省的realplayer内嵌的浏览器。保存之后打开命令行窗口,cd到 {RealProducer安装目录}/RealMediaEditor 子目录,执行以下命令:
rmevents -i E:\iva.rm -e E:\events.txt -o
E:\iva.rm
执行完成之后用播放器播放处理之后的iva.rm文件,当播放到第8秒或者你拖动进度条至3-6秒之间的任一位置,都会弹出一个窗口来。
知道了弹出窗口的原理,要把恶意rm文件的恶意代码给去掉也很简单了。你只要新建一个完全空白的events.txt文本文件,然后重新执行上面的命令行就可以把指定rm文件中的所有事件都清除干净。
不过要注意的是,rm事件中除了可以弹出窗口之外,还可以用 i 标志来为剪辑添加一些说明信息或标题。执行上述命令之后所有的标题信息可能也会一并去除。但一般来说我们看rm电影不太会去关心这些剪辑标题信息(何况大部分的标题信息都是些网站的广告之类),因此关系不大。
完整的rmevents命令行的使用方法,可以参见安装目录下help目录帮助文档。