ActiveX插件木马清除的方法
ActiveX插件让用户可以在IE浏览器中播放Flash动画、在线观看视频、在线杀毒等。ActiveX插件技术将程序本身和IE浏览器融为一体,扩展了IE的功能。可是当ActiveX插件成为一种全新的木马传播方式以后,ActiveX插件就会变得越来越可怕,成为恐怖的万恶之源。
ActiveX让木马屠杀IE普通用户
人们常说的ActiveX控件,本职工作本来是为网友提供各种各样的增值服务的,比如播放Flash动画、在线杀毒等等。ActiveX因为对上网功能的扩大得到了各位网友的肯定和赞扬。
可是就在一片赞扬之声中,ActiveX被黑客盯上了,他们让ActiveX开始为他们传播病毒、木马等恶意程序。并造成了严重的后果,只要用户使用默认设置的IE浏览器浏览了使用ActiveX作为传播木马途径的网页后就会被黑客种植木马。
黑客为什么要使用ActiveX来传播木马?这是因为ActiveX直接将木马程序“变”为可以在网页中直接执行的文件,更重要的是这种方法对所有的Windows系统和IE浏览器版本起效。而且只要用户的IE浏览器的安全级别不是“最高级别”,黑客就可以通过这个手段种植木马,而且现在用户使用的IE中的默认设置只是“中等”,所以木马通过ActiveX植入系统是轻而易举的事情。
ActiveX插件木马“初体验”
说到利用网页插件来进行恶意程序的传播,首先要提到一个由藏鲸阁开放的名为“Exe2Htm”的软件。作者原本开发工具的目的是为了使一些在网吧等不方便进行下载的用户下载文件时使用的,可是没想到被黑客利用。后来又相继出现很多其他的ActiveX插件木马生成器出现,动鲨网页木马生成器就是其中的一款。
运行动鲨网页木马生成器,在“请选择要运行的EXE文件”中填入一个配置好的木马服务端程序,再在“输入存放木马的WEB文件夹路径”中输入网页木马的网址路径,然后点击“生成木马”按钮即可生成最新的网页木马(如图1)。当用户登录这个含有ActiveX木马的网页以后,就会弹出一个提示为“3721”公司的ActiveX插件提示框。ActiveX插件木马“强行安”
有高手曾经说过:一个好的网页木马是三分漏洞、七分脚本,往往因为脚本的失误而导致网页木马的成功率减低。生成一个ActiveX插件木马是相当简单的,但是如何让它安装到系统中却是黑客研究的重点。
首先从网上下载一个可以“强行”安装ActiveX木马的工具包(这个工具包中的工具可以将ActiveX木马强行地安装到用户的系统中),然后执行黑客的木马程序。接着将木马程序分别放到build文件夹下build_1983和build_2000两个子文件夹中。
最后将木马程序的名称改为默认的holistyc.mtree.exe。将修改好的脚本代码连同build文件夹下的各个文件一起上传到网页空间,当用户浏览黑客设置的恶意网页时,就会弹出安装网页插件的窗口(如图2)。从图中我们可以看到,这个网页插件的提示窗口已经和正常的网页插件窗口别无二致,没有任何的漏洞,足可以假乱真。ActiveX插件木马“再伪装”
ActiveX插件木马的最大特点就是迷惑性极强,上面例子中我们讲的是将它伪装成软件厂商Holistyc的ActiveX插件。其实很多黑客会对控件进行修改,将它伪造成为微软、Google、Macromedia等全球著名的软件厂商的插件,这样可以让用户真假难辨,提高中木马的几率。
默认网页控件的名字是preload.cab,它存放在build文件夹下,CAB是一种标准的压缩格式,将它解压,解压后出现的preload.ocx才是真正的插件。
eXeScope是一款强大的程序资源编辑工具,可以直接查看、修改软件的资源,包括菜单、对话框、字符串表等。载入插件preload.ocx,点击资源书下“资源”菜单中的“版本”选项,在右侧的窗口中出现关于插件版本信息的内容。在“CompanyName”选项上点击鼠标右键,选择其中的“编辑”命令,在弹出的窗口中修改“CompanyName”选项的内容,比如:Microsoft、Google、Macromedia等等,修改完成后再压缩为preload.cab后即可使用。再伪装后的ActiveX插件木马更加迷惑人。
ActiveX插件木马防御有捷径
由于ActiveX插件在网络中十分常见,所以用户往往在不经意间被ActiveX木马所欺骗,而且这种方式针对Windows XP SP2在内的任何系统都有可能受到影响,从而给用户造成极大的损失。在此我们为各位介绍几种防范ActiveX木马的方法。
给系统打好补丁:首先及时安装Windows操作系统,以及IE浏览器的安全补丁,并且将自己的操作系统的版本更新到最新的版本,比如Windows XP SP2。这样操作以后,ActiveX木马就没有了执行的条件。如果用户的Windows XP系统已经安装了SP2补丁包,那么IE浏览器中就内置了ActiveX插件管理功能,利用它可以对已存在的插件进行管理。
免疫不需要的ActiveX插件:对于那些不需要的ActiveX插件进行早免疫,也可以避免ActiveX插件木马乘虚而入。虽然通过修改注册表可以屏蔽某些ActiveX插件,但操作起来比较麻烦,这里笔者还是建议使用第三方插件管理工具比如IE插件管理专家upiea(下载地址:http://download.enet.com.cn/html/013612004112401.html),这样ActiveX插件的屏蔽操作就变得简单了。
将IE安全等级设为高级:由于网页插件都是通过ActiveX激活的,所以用户只要把安全等级设为较高的级别,就能禁止浏览器执行ActiveX插件,从而避免网页插件的安装。点击IE浏览器的“工具”菜单下的“internet选项”命令,选择“安全”选项卡。选择“internet”图标再点击“自定义级别”按钮。在弹出的“安全设置”窗口找到“ActiveX控件和插件”下面的各个选项后选择“禁用”命令,确定退出即可起到防范的效果,不过这样也阻止了一些正常插件的运行。
选择其他浏览器上网:如果觉得将IE安全等级设为高会有所不便,我们可以选择放弃使用微软的IE浏览器,而改用一些其他的浏览器浏览网页,比如Maxthon、GreenBrowser、MyIE等,这些浏览器都有屏蔽ActiveX插件的功能。例如使用Maxthon浏览器的,用户只需要点击“选项”菜单中“广告猎手”菜单下的“启用ActiveX过滤”命令也可以对ActiveX插件进行过滤屏蔽。
升级最新杀毒程序:现在很多杀毒软件已经将这些恶意的网页插件添加入病毒库,并且都提供了过滤有害ActiveX插件的功能。安装正版杀毒软件并升级到最新病毒特征包,也可以有效地防范ActiveX插件木马。
|