第三方Vista侧边栏挂木马程序演示

   Gadget(侧边栏)是Vista中非常酷的一个组件，因为贴心与实用它在用户桌面上占了一席之地。殊不知，它却是把“双刃剑”可能带给Vista用户潜在的危险。

    我们在微软官方网站上随便下载了一个名为“苹果时钟”的侧边栏工具。下载后的文件名为app.Gadget，我们用WinRar打开并解压可以看到有不少的文件和文件夹，如图1。

图1 WinRAR打开侧边栏安装包

    这些文件中有两个html文件，笔者选择其中的clock.htm用记事本打开，如下图所示这是标准的html代码，既然能够执行html代码那一定可以用来实现挂马。于是笔者在该html代码的body标签下写入如下框架，这里以google的主页为例：

<body scroll="no" onload="loadMain()">
<iframe src=http://www.google.com/">

    保存该gadget.html文件，然后用WinRar打开movie.gadget用修改后的gadget.html更换其中的同名文件，最后双击安装该侧边栏。不出所料，可以在Vsita的侧边栏中“苹果时钟”并没有显示而是打开了我们的框架网页，如图2。

图2 Vista侧边栏挂马演示 

　　另外，下载了其他侧边栏工具进行测试，无一例外地都可以通过其中的html文件进行挂马。我们可以猜想，一个攻击者完全可以修改Gadget包中的html代码，嵌入挂马代码然后重新打包提供给Vista用户下载使用。当用户安装该侧边栏工具后就会下载并执行远程木马，从而系统被攻击者掌控。

　　为了演示效果，我们上面的测试只是简单地利用iframe进行挂马。其实，在实战中攻击者完全可以精心构造html代码，让用户在不知不觉中中招。

　　那如何预防这样的入侵呢?

　　1、安全第一，不使用侧边栏工具。
　　2、从正规的网站(比如微软官网)下载侧边栏工具。
　　3、用WinRar打开Gadget文件，查看其中的html文件以确定是否有挂马代码。