當“網購”和“游戲”已經是互聯網上不可或缺組成部分，國內的病毒木馬作者由于利益驅使，也逐漸的將目標鎖定在了網購者與游戲玩家。更多的傳播方法則變成了：把病毒偽造成商品圖片、偽裝成網游裝備圖片通過聊天工具傳播。把帶有木馬的非官方游戲安裝包放在釣魚網站上誘騙下載。

雖然此類傳播方式已經成為主流，但不可否認的是，以觸發高危漏洞執行惡意代碼的傳播方式，也應該受國內到各大安全廠商的重視。

2013年2月7日，Adobe公司發布了CVE-2013-0634漏洞補丁，而本篇分析文章則圍繞一個以觸發CVE-2013-0634漏洞執行惡意代碼的樣本，來為大家闡述病毒作者為了隱蔽自己采用的方法與病毒的工作流程，以提高安全人員防范木馬傳播的一個引子。

病毒以CVE-2013-0634漏洞觸發，利用Adobe Flash Player ActionScript 3.0處理正則表達式存在溢出執行惡意代碼。本篇就不再詳細敘述漏洞詳情。

病毒以判斷參數是否為update作為初次運行的條件。

如果參數不是update則創建注冊表項：SOFTWARE\\Microsoft\\Network Security Center\\upsbin, 并且在臨時目錄temp下以~uz加上系統啟動到現在所經過的時間為名字來復制自身文件，并且更改文件創建時間為2006年，以update作為參數運行這個文件。如圖：

當以update作為參數的時候，病毒會判斷系統權限和系統版本，如果系統版本高于vista以上，并且非系統權限，病毒會在臨時目錄temp下創建update.cab更改文件創建時間為2006年，解壓update.cab里面的病毒作者的cryptbase.dll到system32下的migwiz文件夾里，用來突破vista以上版本的UAC限制，然后再以update作為參數重新啟動原病毒文件。如圖：

當獲得系統權限后，病毒會刪除原文件，刪除注冊表鍵SOFTWARE\\Microsoft\\Network Security Center\\upsbin，刪除系統目錄migwiz文件夾里的cryptbase.dll，注冊SOFTWARE\\Microsoft\\Network Security Cente\\feed0 鍵值為：bcd4c8c8cc869393ded0d3db92cfd5d2dd92dfd3d192dfd293cecfcf938e8c898c85898c8a8d8e92c4d1d0=

作為之后的密鑰來解密更新網址。

注冊SOFTWARE\\Microsoft\\Network Security Cente\\ownin 鍵值為：lbgg

刪除SOFTWARE\\Microsoft\\Windows Script Host\\Settings\\Enabled

病毒經過以上流程已經初步完成了在一個機器上初始化自己的生存環境。接下來便開始真正的做壞事了。

病毒以亦或0×30來解密本身文件50E8處腳本文件，然后開始執行腳本。

腳本判斷機器是否安裝360安全衛士是否開啟IE進程，如果有，則全部關閉。

更改注冊表項：

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings\\Zones\\3\\1201

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings\\Zones\\3\\1400

HKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\InternetSettings\\Zones\\3\\CurrentLevel以降低Internet Explorer安全設置

創建Guid，添加注冊表HKEY_LOCAL_MACHINE\\SOFTWARE\\Microsoft\\Network Security Center\\macID鍵值為Guid

刪除注冊表鍵值SOFTWARE\\Microsoft\\Network Security Center\\upsbin

獲取之前病毒添加的SOFTWARE\\Microsoft\\Network Security Cente\\feed0 鍵值作為密鑰經解密后為http://blog.sina.com.cn/rss/2050xxxxxx.xml而這個網址并非是真正的病毒傳播網址，作者為了隱蔽自己，在這里很“精巧”的用了新浪博客作為新的木馬服務器地址發布站。

UdateKEY解密后為真正的木馬服務器地址：www.xxxx.com/themes/rss.php

分析js腳本，使用抓包工具?？梢院芮逦陌l現病毒往服務器上傳了guid，版本，中毒的機器名稱，MAC地址，系統版本等相應信息。獲取到病毒下載地址。

http://www.xxxxxx.tk/images/plugin.xml與http://www.xxxxxx.tk/images/bits.xml

為了能常駐系統，病毒注冊了名字為ptcq_consumer 的活動腳本事件，每隔60秒鐘，執行一次腳本

經過如上分析。我們可以發現，作者首先通過新浪博客，發布加密后的服務器網址，再從服務器中獲取到加密后的病毒下載地址。這樣的做法，只需更改新浪博客的發布地址，便可隱蔽自己的行蹤。可見病毒作者的“良苦用心”。回頭我們再來看下剛才的新浪博客，如下圖：

病毒于2012年6月份就開始傳播。距離2013年2月7日，Adobe公司發布漏洞補丁，已經過去了半年多的時間。由此可見，通過高危漏洞傳播木馬的方式并且以新浪博客，qq空間，微博等，作為加密后的木馬服務器網址發布站點的途徑，應該值得國內安全廠商與博客類發布平臺的密切關注。