清除恶意RM文件的弹出窗口广告

Made In Zeal 转载请保留原始链接:http://www.zeali.net/entry/83

近日,江民公司反病毒中心监测到,有国内黑客在网络上疯狂发布经过特殊编辑的rm影音文件。无论用户使用任何常用播放软件(如RealPlayer、解霸系列、Winamp等),只要打开此文件时,会弹出恶意广告,连接恶意网址。除rm后缀的文件外,.rmvb、.ram后缀的文件同样存在此安全隐患。  

 

江民反病毒专家介绍说,此次截获的恶意rm文件,和2004年9月份以来接连爆出的RealPlayer安全漏洞无关,是通过向rm文件中添加正常事件数据而成的。也正因为如此,除RealPlayer外,当用户使用其他常用播放软件(如解霸系列、Winamp等)打开恶意rm文件时,也都会弹出广告窗口,链接恶意网站,造成中毒。

给普通rm文件加入弹出广告功能,操作并不复杂,现在网上已经出现具备类似功能的共享软件。

那么有没有办法清除这些RM文件的弹出窗口广告呢?

实际上可以在影片中添加事件(events)是rm文件的特性之一。用户可以安装 RealProducer Plus (Realnetworks的官方产品之一) 来对rm文件进行编辑、制作、修改。其安装目录下的 RealMediaEditor/rmevents.exe 可执行文件正是用来为rm文件插入事件的命令行程序。

你可以任意新建一个文本文件,比如myevents.txt,文件内容如下:

u 00:00:08.0 00:00:20.0 &&_rpexternal&&http://www.zeali.net/

其中,     u 是事件标志(Flag), 表示要在文件中插入的是一个url地址,     第2,第三个字段分别表示起止时间点,单位格式是 小时:分:秒.毫秒     最后一个字段是你要弹出的url的地址 ,     _rpexternal 参数表示在外部浏览器打开url,     而不是使用缺省的realplayer内嵌的浏览器。

保存之后打开命令行窗口,cd到 {RealProducer安装目录}/RealMediaEditor 子目录,执行以下命令:

rmevents -i D:/MovieOriginal.rm -e D:/myevents.txt -o D:/movieWithPopup.rm

执行完成之后用播放器播放处理之后的movieWithPopup.rm文件,当播放到第8秒或者你拖动进度条至8-20秒之间的任一位置,都会弹出一个窗口来。

知道了弹出窗口的原理,要把恶意rm文件的恶意代码给去掉也很简单了。你只要新建一个完全空白的myevents.txt文本文件,然后重新执行上面的命令行就可以把指定rm文件中的所有事件都清除干净。

不过要注意的是,rm事件中除了可以弹出窗口之外,还可以用 i 标志来为剪辑添加一些说明信息或标题。执行上述命令之后所有的标题信息可能也会一并去除。但一般来说我们看rm电影不太会去关心这些剪辑标题信息(何况大部分的标题信息都是些网站的广告之类),因此关系不大。

完整的rmevents命令行的使用方法,可以参见安装目录下help目录帮助文档。

你可能感兴趣的:(清除恶意RM文件的弹出窗口广告)