热点推荐:
您现在的位置: 电脑学习网 >> 网络技术 >> 正文

ActiveX插件木马清除

2013-09-12 16:07:10  来源: 网络技术 

ActiveX插件让用户可以在IE浏览器中播放Flash动画、在线观看视频、在线杀毒等。ActiveX插件技术将程序本身和IE浏览器融为一体,扩展了IE的功能。可是当ActiveX插件成为一种全新的木马传播方式以后,ActiveX插件就会变得越来越可怕,成为恐怖的万恶之源。
ActiveX让木马屠杀IE普通用户
  人们常说的ActiveX控件,本职工作本来是为网友提供各种各样的增值服务的,比如播放Flash动画、在线杀毒等等。ActiveX因为对上网功能的扩大得到了各位网友的肯定和赞扬。
  可是就在一片赞扬之声中,ActiveX被黑客盯上了,他们让ActiveX开始为他们传播病毒、木马等恶意程序。并造成了严重的后果,只要用户使用默认设置的IE浏览器浏览了使用ActiveX作为传播木马途径的网页后就会被黑客种植木马。
  黑客为什么要使用ActiveX来传播木马?这是因为ActiveX直接将木马程序“变”为可以在网页中直接执行的文件,更重要的是这种方法对所有的Windows系统和IE浏览器版本起效。而且只要用户的IE浏览器的安全级别不是“最高级别”,黑客就可以通过这个手段种植木马,而且现在用户使用的IE中的默认设置只是“中等”,所以木马通过ActiveX植入系统是轻而易举的事情。
ActiveX插件木马“初体验”
  说到利用网页插件来进行恶意程序的传播,首先要提到一个由藏鲸阁开放的名为“Exe2Htm”的软件。wWW.itCOmPUTEr.COM.cn作者原本开发工具的目的是为了使一些在网吧等不方便进行下载的用户下载文件时使用的,可是没想到被黑客利用。后来又相继出现很多其他的ActiveX插件木马生成器出现,动鲨网页木马生成器就是其中的一款。
  运行动鲨网页木马生成器,在“请选择要运行的EXE文件”中填入一个配置好的木马服务端程序,再在“输入存放木马的WEB文件夹路径”中输入网页木马的网址路径,然后点击“生成木马”按钮即可生成最新的网页木马(如图1)。当用户登录这个含有ActiveX木马的网页以后,就会弹出一个提示为“3721”公司的ActiveX插件提示框。ActiveX插件木马“强行安”
  有高手曾经说过:一个好的网页木马是三分漏洞、七分脚本,往往因为脚本的失误而导致网页木马的成功率减低。生成一个ActiveX插件木马是相当简单的,但是如何让它安装到系统中却是黑客研究的重点。
  首先从网上下载一个可以“强行”安装ActiveX木马的工具包(这个工具包中的工具可以将ActiveX木马强行地安装到用户的系统中),然后执行黑客的木马程序。接着将木马程序分别放到build文件夹下build_1983和build_2000两个子文件夹中。
  最后将木马程序的名称改为默认的holistyc.mtree.exe。将修改好的脚本代码连同build文件夹下的各个文件一起上传到网页空间,当用户浏览黑客设置的恶意网页时,就会弹出安装网页插件的窗口(如图2)。从图中我们可以看到,这个网页插件的提示窗口已经和正常的网页插件窗口别无二致,没有任何的漏洞,足可以假乱真。ActiveX插件木马“再伪装”
  ActiveX插件木马的最大特点就是迷惑性极强,上面例子中我们讲的是将它伪装成软件厂商Holistyc的ActiveX插件。其实很多黑客会对控件进行修改,将它伪造成为微软、Google、Macromedia等全球著名的软件厂商的插件,这样可以让用户真假难辨,提高中木马的几率。
  默认网页控件的名字是preload.cab,它存放在build文件夹下,CAB是一种标准的压缩格式,将它解压,解压后出现的preload.ocx才是真正的插件。
  eXeScope是一款强大的程序资源编辑工具,可以直接查看、修改软件的资源,包括菜单、对话框、字符串表等。载入插件preload.ocx,点击资源书下“资源”菜单中的“版本”选项,在右侧的窗口中出现关于插件版本信息的内容。在“CompanyName”选项上点击鼠标右键,选择其中的“编辑”命令,在弹出的窗口中修改“CompanyName”选项的内容,比如:Microsoft、Google、Macromedia等等,修改完成后再压缩为preload.cab后即可使用。再伪装后的ActiveX插件木马更加迷惑人。
ActiveX插件木马防御有捷径
  由于ActiveX插件在网络中十分常见,所以用户往往在不经意间被ActiveX木马所欺骗,而且这种方式针对Windows XP SP2在内的任何系统都有可能受到影响,从而给用户造成极大的损失。在此我们为各位介绍几种防范ActiveX木马的方法。
  给系统打好补丁:首先及时安装Windows操作系统,以及IE浏览器的安全补丁,并且将自己的操作系统的版本更新到最新的版本,比如Windows XP SP2。这样操作以后,ActiveX木马就没有了执行的条件。如果用户的Windows XP系统已经安装了SP2补丁包,那么IE浏览器中就内置了ActiveX插件管理功能,利用它可以对已存在的插件进行管理。
  免疫不需要的ActiveX插件:对于那些不需要的ActiveX插件进行早免疫,也可以避免ActiveX插件木马乘虚而入。虽然通过修改注册表可以屏蔽某些ActiveX插件,但操作起来比较麻烦,这里笔者还是建议使用第三方插件管理工具比如IE插件管理专家upiea(下载地址:http://download.enet.com.cn/html/013612004112401.html),这样ActiveX插件的屏蔽操作就变得简单了。
  将IE安全等级设为高级:由于网页插件都是通过ActiveX激活的,所以用户只要把安全等级设为较高的级别,就能禁止浏览器执行ActiveX插件,从而避免网页插件的安装。点击IE浏览器的“工具”菜单下的“internet选项”命令,选择“安全”选项卡。选择“internet”图标再点击“自定义级别”按钮。在弹出的“安全设置”窗口找到“ActiveX控件和插件”下面的各个选项后选择“禁用”命令,确定退出即可起到防范的效果,不过这样也阻止了一些正常插件的运行。
  选择其他浏览器上网:如果觉得将IE安全等级设为高会有所不便,我们可以选择放弃使用微软的IE浏览器,而改用一些其他的浏览器浏览网页,比如Maxthon、GreenBrowser、MyIE等,这些浏览器都有屏蔽ActiveX插件的功能。例如使用Maxthon浏览器的,用户只需要点击“选项”菜单中“广告猎手”菜单下的“启用ActiveX过滤”命令也可以对ActiveX插件进行过滤屏蔽。
  升级最新杀毒程序:现在很多杀毒软件已经将这些恶意的网页插件添加入病毒库,并且都提供了过滤有害ActiveX插件的功能。安装正版杀毒软件并升级到最新病毒特征包,也可以有效地防范ActiveX插件木马。

 
acctinfo.dll文件是什么   如果你想清楚地知道自己所管理的服务器上各个用户账号的明细信息,如上次设置密码时间、域密码策略、密码过期时间、登录过多少次等,只要你的服务器是Windows Server 2000/2003系统,都可以利用微软的一个DLL插件得到所有的用户账户信息。其操作过程如下:
  1.首先登录微软网站下载Windows Server 2003资源管理工具包——rktools.exe,下载地址:(本文为WWW.SQ120.COM电脑知识网推荐文章)http://www.microsoft.com/downloads/details.aspx?familyid=9d467a69-57ff-4ae7-96ee-b18c4790cffd&displaylang=en。
  2.下载并完装完成后,在运行中输入regsvr32 acctinfo.dll,按Enter键,会弹出表示注册成功的窗口(注:Acctinfo.dll是一个用来扩展微软管理控制台的“Active Directory用户和计算机”插件的DLL文件。)
  3.打开管理工具中的“Active Directory用户和计算机”,选择一个用户,打开此用户账号属性,你会发现此用户对象的属性页中增加了一个附加的账户信息选项卡“Additional Account Info”,点击它就能看到包含了该用户的各种有用信息(如最近设置密码的时间、最近一次的登录时间等),如当你点击“Domain PW Info”,又会弹出一窗口,告诉你域密码策略。  
什么是MAC地址过滤功能   答:MAC地址通俗点说就是网卡的物理地址,在网络中查找网卡的存在都是依靠这个地址进行的。网卡的MAC地址与IP地址之间的关系和网站IP地址与域名之间的关系有些类似,后者的存在主要用于帮助人们记忆。由于一般用户很难更改网卡的MAC地址,所以具有网络管理功能的网络硬件就会把这个地址用于集中管理时使用,利用MAC地址来完成对网络用户的识别、上网权限的管理、服务与责任的明确等。  
From:http://www.itcomputer.com.cn/Article/Network/201309/988.html
  • 上一篇文章:

  • 下一篇文章:
  • Copyright © 2005-2013 电脑知识网 Computer Knowledge   All rights reserved.