剖析ActiveX挂马：以安装名义入侵

核心提示： 这就如同你走在马路上，有一群人说自己原意跟你交朋友，剖析ActiveX挂马：以安装名义入侵(2)，这些人在你面前一一经过，你可以选择点头同意或者摇头否定，例如Firefox、Maxthon或360安全浏览器，此外，凡是你点头同意的人都可以成为你的朋友，他们可以自由进出你的家

这就如同你走在马路上，有一群人说自己原意跟你交朋友，这些人在你面前一一经过，你可以选择点头同意或者摇头否定，凡是你点头同意的人都可以成为你的朋友，他们可以自由进出你的家。恐怖的是，有些人在成为你朋友之后，你才发现他是个小偷或者无赖流氓。

目前利用ActiveX挂马主要有两种形式，一种是利用正常程序的ActiveX漏洞进行溢出挂马，另外一种则是直接编写恶意的ActiveX 木马程序，将恶意的木马程序伪装成看似有某项功能的ActiveX控件，欺骗用户安装。接下来的案例中我们将会为大家演示黑客如何利用ActiveX挂 马。

ActiveX挂马攻防实录

方法1：通过漏洞挂马

攻

黑客利用ActiveX进行网页挂马，最常见的方法就是利用那些有漏洞的ActiveX控件进行挂马，通过用户系统内已有的ActiveX控件的触发，让木马在不知不觉中植入用户的电脑。

其中利用软件ActiveX漏洞发动攻击的著名例子有Flash和RealPlayer的ActiveX漏洞挂马程序，这些软件的ActiveX漏洞都曾经造成了极大的危害，特别是RealPlayer至今仍然有黑客在使用它的ActiveX漏洞进行挂马。

下面以DjVu ActiveX控件漏洞为例讲解挂马的具体步骤，首先将恶意代码输入到写字板中，然后另存为任意的HTML文件，然后利用IFRAME代码将生成的 HTML文件嵌入到正常的网页中，此时输入网址打开含有DjVu ActiveX控件漏洞的网页，本机的计算器程序就会被触发开启。而黑客通常不会这么善良，他们会将Shellcode代码修改成下载指定恶意程序的代 码，然后让用户在打开相关网站后中招。

小百科：DjVu ActiveX控件是用于压缩图形文件的工具，它在处理超长的ImageURL属性参数时会出现溢出。

防

对于利用ActiveX漏洞来进行挂马的行为，最好的防范方法是使用IE之外的浏览器，例如Firefox、Maxthon或360安全浏览器。此外，最好能够安装防挂马软件。