近日，微軟Internet Explorer瀏覽器爆出高危漏洞，微軟已經(jīng)發(fā)布公告提醒用戶，并承諾將修復(fù)該漏洞。與此同時(shí)，該漏洞也已經(jīng)被木馬所利用。信息安全廠商卡巴斯基實(shí)驗(yàn)室在爆出該漏洞之后很快就檢測(cè)到了一個(gè)可以利用這個(gè)漏洞的木馬。

據(jù)了解，此木馬是一個(gè)惡意網(wǎng)頁腳本木馬，會(huì)打開帶有漏洞利用程序的惡意flash文件，利用最近爆出的微軟Internet Explorer瀏覽器高危漏洞向用戶計(jì)算機(jī)中下載安裝后門木馬，使用戶計(jì)算機(jī)被黑客操縱。

用戶在用IE瀏覽器瀏覽含有此木馬的網(wǎng)頁時(shí)，此木馬會(huì)加載一個(gè)名為Moh2010.swf的flash文件：

Moh2010.swf使用了Doswf進(jìn)行了加殼保護(hù)，使人不能輕易地看到flash文件的內(nèi)容：

Moh2010.swf脫殼后的部分代碼如下:

從中我們可以看到它會(huì)去調(diào)用另一個(gè)Protect.html。另外還可以看到其中還包含有轉(zhuǎn)換為字符的代碼。將這些字符轉(zhuǎn)換成代碼后如下：

可以看到這段代碼還會(huì)對(duì)其中后面的代碼進(jìn)行異或解密。解密后的部分代碼如下：

從解密后的代碼中我們可以看到它所要下載的后門木馬的地址。

前面提到的被flash文件調(diào)用的Protected.html被卡巴斯基檢測(cè)為Trojan-Downloader.HTML.SWFLoad.h，其主要代碼如下：

從中可以看到這個(gè)版本的漏洞利用程序只攻擊Windows XP上的IE7和IE8，并且還可以看到其中包含有真正的CVE-2012-4969漏洞的利用代碼。漏洞觸發(fā)后會(huì)執(zhí)行前面解密出的代碼并從http://62.152.xxx.xxx/public/help/111.exe向用戶計(jì)算機(jī)中下載運(yùn)行木馬。被下載的木馬被卡巴斯基檢測(cè)為Trojan.Win32.Agent.tuzg，是一種Poison Ivy遠(yuǎn)程控制木馬。

目前來看，該木馬使得用戶的電腦存在極大的風(fēng)險(xiǎn)，用戶應(yīng)安裝專業(yè)的安全軟件。卡巴斯基所有產(chǎn)品已經(jīng)可以完全查殺這個(gè)惡意網(wǎng)頁腳本木馬了，尤其是近期剛剛發(fā)布的卡巴斯基安全部隊(duì)2013，其具備的自動(dòng)漏洞入侵防護(hù)技術(shù)能幫助用戶排除隱憂。