百度搜索栏 沦为挂马先锋

转载请注明出处 电脑报（http://www.shudoo.com）   
2009年第17期F版   责任编辑：陈邓新
作者：河北　苗得雨

　　近日，包括GOV网站被黑客攻击（图1），纷纷沦陷。但是，这一轮黑客攻击似乎与以往的黑客攻击有很大的区别。在过往的黑客攻击中，黑客在入侵网站之后，通常会采用修改某一特定页面，加注上炫耀性的图片或者文字标明自己入侵成功。

image001.jpg (39.55 KB)
2009-5-14 15:58

　　在这一轮政府网站被攻击的浪潮中，黑客不再以单纯挑战入侵网站为目的，他们采取危害性更大的动作——挂马。在我们仔细对这一时间几十家被挂马的政府网站进行分析后，发现了一个惊人的秘密，所有遭到黑客入侵的政府网站，竟然所挂的都是同两款网页木马，而其中一个网页木马是在网络中完全找不到现成生成工具的溢出攻击手段。

　　无人修复的漏洞

　　这群目标直指政府网站的黑客究竟在网站中使用了什么样的神秘溢出挂马手段呢？答案是Baidu Search Assist ActiveX Exploit和MS06014 Exploit。MS06-014 Exploit几乎不值得一提，它是2006年微软的一个老漏洞，该漏洞的各种生成工具已经在网络中流传甚广，对于多数修补了补丁的用户而言，威胁不大。

　　可是，这个名为“Baidu Search Assist ActiveX Exploit”的漏洞则完全不同，它出现在百度搜索工具栏中（图2），这款软件的前身也叫百度搜霸。它是一款免费的浏览器辅助工具，以ActiveX控件的形式直接安装在IE浏览器中，很多用户的浏览器中都有它的存在。

2.jpg (40.66 KB)
2009-5-14 15:58

　　Baidu Search Assist ActiveX Exploit漏洞，在一年多前就被挖掘出来了，不过仅有一家网站轻描淡写地公布漏了洞信息，关注度非常少，而且网上没有任何相关的漏洞生成器。该漏洞的技术细节只在小圈子里面流传。由于该漏洞知道的人少，再加上编写攻击代码的难度较高，之前一直没有挂马的成功案例。

　　虽然该漏洞不算新了，但危害依然很大。为什么这样说呢？百度工具栏软件的用户相当广泛，特别是近几年配合软件附带安装和网站推广等手段，许多用户的浏览器中都安装这款ActiveX控件。另外，这款ActiveX控件无法实现自动升级，必须通过再次安装新版本才能够实现升级，这意味着一年多前安装百度工具栏软件的用户们都可能成为这种攻击手段的受害者。

　　除此之外，许多用户往往并不能够分辨出哪些ActiveX控件是无害的，哪些ActiveX控件是有害的，黑客会利用用户对百度的信任，通过欺诈让用户先安装上老版本的百度工具栏（2.0版之前的都受到影响），然后再实施攻击。

　　漏洞为什么会产生？
漏洞为什么会产生呢？我们经过多次实验，发现漏洞是存在于“BaiduBa