攻防实战：深入剖析最新IE7.0 0day漏洞利用代码

核心提示： 图2 运行IE7_0day.htm后出现安全警告提示说明：如果是普通用户，可以不单击上面的提示，攻防实战：深入剖析最新IE7.0 0day漏洞利用代码(3)，从而避免下载病毒到本地，点击该标签栏，呵呵，病毒文件），然后点击“允许被封锁的内容”，下载文件

图2 运行IE7_0day.htm后出现安全警告提示

说明：

如果是普通用户，可以不单击上面的提示，从而避免下载病毒到本地。

点击该标签栏，然后点击“允许被封锁的内容”，下载文件，如图3所示。

图3 允许被封锁的内容

允许被封锁的内容后，IE会再弹出一个安全性警告，点击“是”后，代码就开始执行了，如图4所示。

图4 执行代码

3 监控文件运行情况

（1）监控IE7_0day.htm运行后文件运行情况

我们使用文件监控工具看看该网页做了那些事情。双击“FileMon.exe”我们可以看到漏洞溢出后，在C:Documents and SettingshurricaneLocal SettingsTemporary Internet Files以及C:Documents and SettingshurricaneLocal SettingsTemporary Internet FilesContent.IE56XUB49Q3生成了ko.exe和ko[1].exe文件，如图5所示。其文件下载路径均为：

http://www.baikec.cn/down/ko.exe（注意不要下载该文件运行，呵呵，病毒文件），这应该就是网页制作者挂马的地方了。

图 5 IE7_0day.htm下载木马文件到本地

（2）木马调用文件分析