作者: 甘肃老五, 　出处:IT专家网,　责任编辑: 张帅,　 2008-06-17 12:41

　　Flash网马现在并没有很好的防范方法，本文将从网友提供的一个Flash 0day来分析介绍Flash网马的危害及防护。

　　【IT专家网独家】1、缘起

　　近日，群里一网友发送一个URL链接，说是其最近开通的个人空间，让我去看看。安全其间，我在虚拟机中打开了该网站链接。大概3秒钟，感觉虚拟机速度明显变慢。作为一名安全爱好者，直觉告诉我，可能是中招了。于是在命令下(cmd.exe)下，输入命令netstat -ano 发现了两个可疑连接，端口号分别为4778、2407同时连接到*.30.66.*，连接状态为“ESTABLISHED”。(图1)

　　2、追踪

　　难道中了网页木马?查看该网页的源代码没有发现可疑代码。于是重启一个虚拟机，该虚拟机笔者打上了最新的系统补丁，杀毒软件为瑞星并且病毒库升级到最新。笔者重新打开该链接，结果和第一个虚拟机一样在命令行下发现了可疑的网络连接。

　　由于补丁包为最新，这说明虚拟机不是通过系统漏洞中招的;瑞星没有反应，这说明该木马可能是通过一种未知的新漏洞下载运行的，而且做了过瑞星的免杀处理。

　　于是笔者重新查看源代码，查看代码的过程中一个URL链接的mm.swf引起了笔者的注意。这应该是链接到一个flash文件。但是笔者注意到打开该网页并没有看到什么flash动画。笔者查看IE临时文件夹，在其中发现了这个mm.swf文件，其大小为1KB。很显然，这个swf文件就非常可疑，难道这就是笔者前几天在IT专家网安全子站看到的Flash0day?(图2)