當“網(wǎng)購”和“游戲”已經(jīng)是互聯(lián)網(wǎng)上不可或缺組成部分，國內(nèi)的病毒木馬作者由于利益驅(qū)使，也逐漸的將目標鎖定在了網(wǎng)購者與游戲玩家。更多的傳播方法則變成了：把病毒偽造成商品圖片、偽裝成網(wǎng)游裝備圖片通過聊天工具傳播。把帶有木馬的非官方游戲安裝包放在釣魚網(wǎng)站上誘騙下載。

雖然此類傳播方式已經(jīng)成為主流，但不可否認的是，以觸發(fā)高危漏洞執(zhí)行惡意代碼的傳播方式，也應(yīng)該受國內(nèi)到各大安全廠商的重視。

2013年2月7日，Adobe公司發(fā)布了CVE-2013-0634漏洞補丁，而本篇分析文章則圍繞一個以觸發(fā)CVE-2013-0634漏洞執(zhí)行惡意代碼的樣本，來為大家闡述病毒作者為了隱蔽自己采用的方法與病毒的工作流程，以提高安全人員防范木馬傳播的一個引子。

病毒以CVE-2013-0634漏洞觸發(fā)，利用Adobe Flash Player ActionScript 3.0處理正則表達式存在溢出執(zhí)行惡意代碼。本篇就不再詳細敘述漏洞詳情。

病毒以判斷參數(shù)是否為update作為初次運行的條件。

如果參數(shù)不是update則創(chuàng)建注冊表項：SOFTWARE\\Microsoft\\Network Security Center\\upsbin, 并且在臨時目錄temp下以~uz加上系統(tǒng)啟動到現(xiàn)在所經(jīng)過的時間為名字來復(fù)制自身文件，并且更改文件創(chuàng)建時間為2006年，以update作為參數(shù)運行這個文件。如圖：

當以update作為參數(shù)的時候，病毒會判斷系統(tǒng)權(quán)限和系統(tǒng)版本，如果系統(tǒng)版本高于vista以上，并且非系統(tǒng)權(quán)限，病毒會在臨時目錄temp下創(chuàng)建update.cab更改文件創(chuàng)建時間為2006年，解壓update.cab里面的病毒作者的cryptbase.dll到system32下的migwiz文件夾里，用來突破vista以上版本的UAC限制，然后再以update作為參數(shù)重新啟動原病毒文件。如圖：

當獲得系統(tǒng)權(quán)限后，病毒會刪除原文件，刪除注冊表鍵SOFTWARE\\Microsoft\\Network Security Center\\upsbin，刪除系統(tǒng)目錄migwiz文件夾里的cryptbase.dll，注冊SOFTWARE\\Microsoft\\Network Security Cente\\feed0 鍵值為：bcd4c8c8cc869393ded0d3db92cfd5d2dd92dfd3d192dfd293cecfcf938e8c898c85898c8a8d8e92c4d1d0=

作為之后的密鑰來解密更新網(wǎng)址。

注冊SOFTWARE\\Microsoft\\Network Security Cente\\ownin 鍵值為：lbgg

刪除SOFTWARE\\Microsoft\\Windows Script Host\\Settings\\Enabled

病毒經(jīng)過以上流程已經(jīng)初步完成了在一個機器上初始化自己的生存環(huán)境。接下來便開始真正的做壞事了。

病毒以亦或0×30來解密本身文件50E8處腳本文件，然后開始執(zhí)行腳本。

腳本判斷機器是否安裝360安全衛(wèi)士是否開啟IE進程，如果有，則全部關(guān)閉。

更改注冊表項：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings\\Zones\\3\\1201

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings\\Zones\\3\\1400

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings\\Zones\\3\\CurrentLevel以降低Internet Explorer安全設(shè)置

創(chuàng)建Guid，添加注冊表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Network Security Center\\macID鍵值為Guid

刪除注冊表鍵值SOFTWARE\\Microsoft\\Network Security Center\\upsbin

獲取之前病毒添加的SOFTWARE\\Microsoft\\Network Security Cente\\feed0 鍵值作為密鑰經(jīng)解密后為http://blog.sina.com.cn/rss/2050xxxxxx.xml而這個網(wǎng)址并非是真正的病毒傳播網(wǎng)址，作者為了隱蔽自己，在這里很“精巧”的用了新浪博客作為新的木馬服務(wù)器地址發(fā)布站。

UdateKEY解密后為真正的木馬服務(wù)器地址：www.xxxx.com/themes/rss.php

分析js腳本，使用抓包工具。可以很清晰的發(fā)現(xiàn)病毒往服務(wù)器上傳了guid，版本，中毒的機器名稱，MAC地址，系統(tǒng)版本等相應(yīng)信息。獲取到病毒下載地址。

http://www.xxxxxx.tk/images/plugin.xml與http://www.xxxxxx.tk/images/bits.xml

為了能常駐系統(tǒng)，病毒注冊了名字為ptcq_consumer 的活動腳本事件，每隔60秒鐘，執(zhí)行一次腳本

經(jīng)過如上分析。我們可以發(fā)現(xiàn)，作者首先通過新浪博客，發(fā)布加密后的服務(wù)器網(wǎng)址，再從服務(wù)器中獲取到加密后的病毒下載地址。這樣的做法，只需更改新浪博客的發(fā)布地址，便可隱蔽自己的行蹤。可見病毒作者的“良苦用心”。回頭我們再來看下剛才的新浪博客，如下圖：

病毒于2012年6月份就開始傳播。距離2013年2月7日，Adobe公司發(fā)布漏洞補丁，已經(jīng)過去了半年多的時間。由此可見，通過高危漏洞傳播木馬的方式并且以新浪博客，qq空間，微博等，作為加密后的木馬服務(wù)器網(wǎng)址發(fā)布站點的途徑，應(yīng)該值得國內(nèi)安全廠商與博客類發(fā)布平臺的密切關(guān)注。