近日，微软Internet Explorer阅读器爆出高危 漏洞，微软已经公布布告 揭示消费者，并承诺将修复该 漏洞 。与此同时，该 漏洞也已经被木马所利用 。知名信息安全厂商卡巴斯基 试验室在爆出该 漏洞之后很快就检测到了一个 可以利用这个 漏洞的木马 。

据 理解，此木马是一个 歹意网页脚本木马，会 打开带有 漏洞利用程序的 歹意flash文件，利用最近爆出的微软Internet Explorer阅读器高危 漏洞向消费者计算机中下载安装后门木马， 运消费者计算机被黑客控制 。

消费者在用IE阅读器阅读含有此木马的网页时，此木马会加载一个名为Moh2010.swf的flash文件：

Moh2010.swf 使用了Doswf进行了加壳 掩护，使人不能轻易地看到flash文件的内容：

Moh2010.swf脱壳后的 部分代码如下:

从中我们 可以看到它会去调用另一个Protect.html 。另外还 可以看到其中还包括有转换为字符的代码 。将这些字符转换成代码后如下：

可以看到这段代码还会对其中后面的代码进行异或解密 。解密后的 部分代码如下：

从解密后的代码中我们 可以看到它所要下载的后门木马的地址 。

前面提到的被flash文件调用的Protected.html被卡巴斯基检测为Trojan-Downloader.HTML.SWFLoad.h，其重要代码如下：

从中 可以看到这个版本的 漏洞利用程序只 突击Windows XP上的IE7和IE8，而且还 可以看到其中包括有真正的CVE-2012-4969 漏洞的利用代码 。 漏洞触发后会执行前面解密出的代码并从http://62.152.xxx.xxx/public/help/111.exe向消费者计算机中下载运行木马 。被下载的木马被卡巴斯基检测为Trojan.Win32.Agent.tuzg，是一种Poison Ivy远程控制木马 。

当前来看，该木马使得消费者的电脑存在极大的风险，消费者应安装专业的安全软件 。卡巴斯基所有产品已经 可以 彻底查杀这个 歹意网页脚本木马了，尤其是最近方才公布的卡巴斯基安所有队2013，其具备的自动 漏洞入侵防护技术能协助消费者排除隐忧 。