数天前网络上爆出来利用最新“Flash媒体漏洞”挂马的攻击网页，这个漏洞影响Adobe Flash Player 10.3.183.5以下的版本，要知道在本周三之前10.3.183.5是flash最高版本，即使现在已经发布更新，但并不是每个机器都安装了更新，因为在我的自己上Adobe Flash 就没有提示安装更新。

这个漏洞是通过Flash的媒体播放功能播放一个恶意视频文件触发的。至少我知道会影响到IE系列浏览器吧。下面就简单分析下：

首先看到文件开头是以CWS开头是被编过码的，这里依旧借助工具swfdump.exe来分析：

C:binswftoolsswfdump.exe -atpdu flash.swf > flash.swf.swfdump

此时查看输出文件 flash.swf.swfdump可以看到很明显的两个pushstring如图：

还是很容易判断这两个字符串的内容的，首先看第一个开头是4357530A，4357530A的ASCII码是CWS.，这个很明显又是一个内嵌的swf文件，漏洞描述说通过Flash的媒体播放功能播放一个恶意MP4文件触发的那可能这个swf文件就是来播放视频文件的吧，当然视频文件是另外的，这个是负责播放，同样的办法处理这个新的swf文件，查看输出可以很容易找到如下的代码：

再看看另一段字符串0c0c9090开头的，很明显这是shellcode了。就在90这里下断点调试进入OD。

前面是一段异或解密的代码，后面是加过密的shellcode。解密完成后继续往下看，可以找到exe下载地址：

这里我把地址河蟹了下，不过这不影响分析，还是很明了这是一个下载执行的shellcode。再后续分许就是回溯一步分析了，分析没什么难度，或许尝试去利用一下更有意义。

最后说说预防的措施：

一般情况下没人会去攻击你，一般老百姓大可不必在意。但是如果说要很好的预防攻击的话，最好的办法就是安装Adobe Flash最新版本，可能你已经安装了，如果还没安装那就手动更新下吧