与时俱进，利用Flash漏洞挂马

 最近一段时间，网页木马泛滥成灾，而且中毒率很高，更奇怪的是杀毒软件却对此视而不见。究其原因是因为这些网马都利用了最近的Flash播放器插件漏洞，黑客只要构造一个恶意的Flash文件，并将它制作成网页木马，当用户浏览这个网页木马后，就会触发本机上的flash插件漏洞，同时下载木马并运行。本期让我们来了解一下这个漏洞的相关信息以及防御方法。

相关报道：Flash漏洞成网页木马“凶器”

  制作flash漏洞网马

  首先我们来了解一下制作流程和用户中毒的过程：准备木马服务端或其他病毒→用“flash漏洞网马生成器”制作网页木马→将网页木马挂到别的网站上→用户浏览后会下载一个名为ORZ.exe的下载器→通过ORZ.exe下载木马服务端或别的病毒运行。

  从中我们可以了解到，漏洞触发后首先会运行一个名为ORZ的木马下载器，如果你的杀毒软件检测到一个名为ORZ.exe的文件，那么十有八九你的系统存在flash插件漏洞。

图1.被拦截的ORZ.exe

  下面我们再来通过一个简单的测试看看这个漏洞触发的过程。

  Step1.将记事本程序notepad.exe上传到自己的网页空间中，得到的地址为：http://www.***.com/notepad.exe。

  Step2.运行“flash漏洞网马生成器”，将网址填入到“URL”文本框中，点击一下“Click”按钮，在同目录中就会生成一个名为“Win 9,0,115,0ie.swf”的flash文件。

图2.生成带毒的swf文件

  Step3.将生成的flash文件插入到网页中或上传到网站上，例如一些论坛、博客等。网友只要浏览这个论坛的帖子或博客页面就会触发漏洞。

  这里为了测试我们直接用IE浏览器打开“Win 9,0,115,0ie.swf”，这时系统有略微迟钝，然后就弹出了记事本程序，测试成功。在漏洞触发的过程中，除了系统有一点点的停顿外，其他无任何异样，这也说明普通用户很难发现自己已经中毒。
 
  漏洞的修补

  Adobe公司早在4月份就发布了该漏洞的安全补丁，不过在网马泛滥之前并没有被人所重视。亡羊补牢仍未晚，趁自己还未中毒，赶紧把补丁给打上吧，补丁下载地址：http://www.cbifamily.com/download/200824.html。

  如果你不确定自己的电脑是否存在flash插件漏洞，可以借助一些安全网站进行检测。在浏览器中打开www.360.cn，点击页面左上角“360安全提示”中的“立即检测”按钮，很快就可以知道检测结果。

图3.在线检测是否存在漏洞