近日，微軟Internet Explorer瀏覽器爆出高危漏洞，微軟已經(jīng)發(fā)布公告提醒用戶，并承諾將修復該漏洞。與此同時，該漏洞也已經(jīng)被木馬所利用。信息安全廠商卡巴斯基實驗室在爆出該漏洞之后很快就檢測到了一個可以利用這個漏洞的木馬。

據(jù)了解，此木馬是一個惡意網(wǎng)頁腳本木馬，會打開帶有漏洞利用程序的惡意flash文件，利用最近爆出的微軟Internet Explorer瀏覽器高危漏洞向用戶計算機中下載安裝后門木馬，使用戶計算機被黑客操縱。

用戶在用IE瀏覽器瀏覽含有此木馬的網(wǎng)頁時，此木馬會加載一個名為Moh2010.swf的flash文件：

Moh2010.swf使用了Doswf進行了加殼保護，使人不能輕易地看到flash文件的內(nèi)容：

Moh2010.swf脫殼后的部分代碼如下:

從中我們可以看到它會去調(diào)用另一個Protect.html。另外還可以看到其中還包含有轉(zhuǎn)換為字符的代碼。將這些字符轉(zhuǎn)換成代碼后如下：

可以看到這段代碼還會對其中后面的代碼進行異或解密。解密后的部分代碼如下：

從解密后的代碼中我們可以看到它所要下載的后門木馬的地址。

前面提到的被flash文件調(diào)用的Protected.html被卡巴斯基檢測為Trojan-Downloader.HTML.SWFLoad.h，其主要代碼如下：

從中可以看到這個版本的漏洞利用程序只攻擊Windows XP上的IE7和IE8，并且還可以看到其中包含有真正的CVE-2012-4969漏洞的利用代碼。漏洞觸發(fā)后會執(zhí)行前面解密出的代碼并從http://62.152.xxx.xxx/public/help/111.exe向用戶計算機中下載運行木馬。被下載的木馬被卡巴斯基檢測為Trojan.Win32.Agent.tuzg，是一種Poison Ivy遠程控制木馬。

目前來看，該木馬使得用戶的電腦存在極大的風險，用戶應(yīng)安裝專業(yè)的安全軟件?？ò退够挟a(chǎn)品已經(jīng)可以完全查殺這個惡意網(wǎng)頁腳本木馬了，尤其是近期剛剛發(fā)布的卡巴斯基安全部隊2013，其具備的自動漏洞入侵防護技術(shù)能幫助用戶排除隱憂。