Flash漏洞成网页木马“凶器”

最近一段时间，很多朋友的电脑都中了木马，杀毒软件被禁不起作用。造成这种现象的关键原因之一就是黑客利用Flash新出的漏洞进行攻击，特别是一些此漏洞的木马生成器的出现是更令攻击泛滥成灾。

小知识：这次的Flash漏洞是出现在Flash Player插件9.0.115和更早版本上。黑客会为该漏洞特别制作一些恶意的swf，当用户的Flash Player在播放这些swf时，就会自动下载并执行黑客准备的恶意程序，例如一些木马下载器。

由于Flash Player插件安装的用户众多且该漏洞的杀伤力巨大，黑客对制作针对Flash漏洞的网页木马兴趣大增，根据统计分析，Flash漏洞超过Realplayer漏洞成为网页木马最“喜欢”的漏洞。

www.live322.cn是最近被投诉得最多的利用此漏洞作恶的网站。该网站为了掩人耳目，没有放置任何页面，包括首页也无权访问。因此我们直接来到http://www.live322.cn/4561.swf。

这是一个空白Flash，提示没有加载任何文件，杀毒软件也无反应，一切看似正常，没有异常。重启电脑后，Windows安全中心提示防火墙已被关闭，任务管理器里出现大量陌生的进程。

同时，杀毒软件不停报警，提示在启动文件夹、TEMP临时文件夹内发现Win32：GaoBot-2437病毒。在网络连接中，发现有来自http://www.live322.cn/test.exe的病毒正源源不断地涌向本机。

我们将http://www.live322.cn/4561.swf中的4561.swf下载后用多种杀毒引擎检测，确认的ExploitSWF.Downloader.u病毒。原来这空白的Flash正是利用Flash Player漏洞的木马下载器，它侵入系统后会悄悄下载其他病毒，并企图盗取网游帐号，大发不义之财。

我们乘胜追击，查询该网站Whois信息。根据注册邮箱和IP地址检索，我们吃惊地发现包括www.fire122.cn，www.fire321.cn，www.pps900.cn，www.xppsdo.cn，www.fast800.cn，www.ftp356.cn等多个近期异常嚣张的恶意网站均是同一人所为，严重扰乱了正常的网络秩序，行为极其恶劣。

若要防止此漏洞可能造成的伤害，可以下载最新版的Flash Player 9.0.124，下载地址：http://www.skycn.com/soft/37387.html

当然也可以禁用Flash Player，这样就一劳永逸地解决问题了。很多安全厂商的产品都没有专门为常用软件进行更新的功能，这会给用户带来潜在的安全隐患，建议安全厂商在设计产品时可以加入常用软件漏洞更新功能。