ActiveX插件讓用戶可以在IE浏覽器中播放Flash動畫、在線觀看視頻、在線殺毒等。ActiveX插件技術將程序本身和IE浏覽器融為一體,擴展了IE的功能。可是當ActiveX插件成為一種全新的木馬傳播方式以後,ActiveX插件就會變得越來越可怕,成為恐怖的萬惡之源。
ActiveX讓木馬屠殺IE普通用戶
人們常說的ActiveX控件,本職工作本來是為網友提供各種各樣的增值服務的,比如播放Flash動畫、在線殺毒等等。ActiveX因為對上網功能的擴大得到了各位網友的肯定和贊揚。
可是就在一片贊揚之聲中,ActiveX被黑客盯上了,他們讓ActiveX開始為他們傳播病毒、木馬等惡意程序。並造成了嚴重的後果,只要用戶使用默認設置的IE浏覽器浏覽了使用ActiveX作為傳播木馬途徑的網頁後就會被黑客種植木馬。
黑客為什麼要使用ActiveX來傳播木馬?這是因為ActiveX直接將木馬程序“變”為可以在網頁中直接執行的文件,更重要的是這種方法對所有的Windows系統和IE浏覽器版本起效。而且只要用戶的IE浏覽器的安全級別不是“最高級別”,黑客就可以通過這個手段種植木馬,而且現在用戶使用的IE中的默認設置只是“中等”,所以木馬通過ActiveX植入系統是輕而易舉的事情。
ActiveX插件木馬“初體驗”
說到利用網頁插件來進行惡意程序的傳播,首先要提到一個由藏鯨閣開放的名為“Exe2Htm”的軟件。TW.WInGWIt.COm作者原本開發工具的目的是為了使一些在網吧等不方便進行下載的用戶下載文件時使用的,可是沒想到被黑客利用。後來又相繼出現很多其他的ActiveX插件木馬生成器出現,動鲨網頁木馬生成器就是其中的一款。
運行動鲨網頁木馬生成器,在“請選擇要運行的EXE文件”中填入一個配置好的木馬服務端程序,再在“輸入存放木馬的WEB文件夾路徑”中輸入網頁木馬的網址路徑,然後點擊“生成木馬”按鈕即可生成最新的網頁木馬(如圖1)。當用戶登錄這個含有ActiveX木馬的網頁以後,就會彈出一個提示為“3721”公司的ActiveX插件提示框。ActiveX插件木馬“強行安”
有高手曾經說過:一個好的網頁木馬是三分漏洞、七分腳本,往往因為腳本的失誤而導致網頁木馬的成功率減低。生成一個ActiveX插件木馬是相當簡單的,但是如何讓它安裝到系統中卻是黑客研究的重點。
首先從網上下載一個可以“強行”安裝ActiveX木馬的工具包(這個工具包中的工具可以將ActiveX木馬強行地安裝到用戶的系統中),然後執行黑客的木馬程序。接著將木馬程序分別放到build文件夾下build_1983和build_2000兩個子文件夾中。
最後將木馬程序的名稱改為默認的holistyc.mtree.exe。將修改好的腳本代碼連同build文件夾下的各個文件一起上傳到網頁空間,當用戶浏覽黑客設置的惡意網頁時,就會彈出安裝網頁插件的窗口(如圖2)。從圖中我們可以看到,這個網頁插件的提示窗口已經和正常的網頁插件窗口別無二致,沒有任何的漏洞,足可以假亂真。ActiveX插件木馬“再偽裝”
ActiveX插件木馬的最大特點就是迷惑性極強,上面例子中我們講的是將它偽裝成軟件廠商Holistyc的ActiveX插件。其實很多黑客會對控件進行修改,將它偽造成為微軟、Google、Macromedia等全球著名的軟件廠商的插件,這樣可以讓用戶真假難辨,提高中木馬的幾率。
默認網頁控件的名字是preload.cab,它存放在build文件夾下,CAB是一種標准的壓縮格式,將它解壓,解壓後出現的preload.ocx才是真正的插件。
eXeScope是一款強大的程序資源編輯工具,可以直接查看、修改軟件的資源,包括菜單、對話框、字符串表等。載入插件preload.ocx,點擊資源書下“資源”菜單中的“版本”選項,在右側的窗口中出現關於插件版本信息的內容。在“CompanyName”選項上點擊鼠標右鍵,選擇其中的“編輯”命令,在彈出的窗口中修改“CompanyName”選項的內容,比如:Microsoft、Google、Macromedia等等,修改完成後再壓縮為preload.cab後即可使用。再偽裝後的ActiveX插件木馬更加迷惑人。
ActiveX插件木馬防御有捷徑
由於ActiveX插件在網絡中十分常見,所以用戶往往在不經意間被ActiveX木馬所欺騙,而且這種方式針對Windows XP SP2在內的任何系統都有可能受到影響,從而給用戶造成極大的損失。在此我們為各位介紹幾種防范ActiveX木馬的方法。
給系統打好補丁:首先及時安裝Windows操作系統,以及IE浏覽器的安全補丁,並且將自己的操作系統的版本更新到最新的版本,比如Windows XP SP2。這樣操作以後,ActiveX木馬就沒有了執行的條件。如果用戶的Windows XP系統已經安裝了SP2補丁包,那麼IE浏覽器中就內置了ActiveX插件管理功能,利用它可以對已存在的插件進行管理。
免疫不需要的ActiveX插件:對於那些不需要的ActiveX插件進行早免疫,也可以避免ActiveX插件木馬乘虛而入。雖然通過修改注冊表可以屏蔽某些ActiveX插件,但操作起來比較麻煩,這裡筆者還是建議使用第三方插件管理工具比如IE插件管理專家upiea(下載地址:http://download.enet.com.cn/html/013612004112401.html),這樣ActiveX插件的屏蔽操作就變得簡單了。
將IE安全等級設為高級:由於網頁插件都是通過ActiveX激活的,所以用戶只要把安全等級設為較高的級別,就能禁止浏覽器執行ActiveX插件,從而避免網頁插件的安裝。點擊IE浏覽器的“工具”菜單下的“internet選項”命令,選擇“安全”選項卡。選擇“internet”圖標再點擊“自定義級別”按鈕。在彈出的“安全設置”窗口找到“ActiveX控件和插件”下面的各個選項後選擇“禁用”命令,確定退出即可起到防范的效果,不過這樣也阻止了一些正常插件的運行。
選擇其他浏覽器上網:如果覺得將IE安全等級設為高會有所不便,我們可以選擇放棄使用微軟的IE浏覽器,而改用一些其他的浏覽器浏覽網頁,比如Maxthon、GreenBrowser、MyIE等,這些浏覽器都有屏蔽ActiveX插件的功能。例如使用Maxthon浏覽器的,用戶只需要點擊“選項”菜單中“廣告獵手”菜單下的“啟用ActiveX過濾”命令也可以對ActiveX插件進行過濾屏蔽。
升級最新殺毒程序:現在很多殺毒軟件已經將這些惡意的網頁插件添加入病毒庫,並且都提供了過濾有害ActiveX插件的功能。安裝正版殺毒軟件並升級到最新病毒特征包,也可以有效地防范ActiveX插件木馬。
From:http://tw.wingwit.com/Article/Network/201309/988.html