攻防实战：深入剖析最新IE7.0 0day漏洞利用代码

核心提示： 从filemon的监控过程来看，应该是调用了cmd.exe来执行ko.exe，攻防实战：深入剖析最新IE7.0 0day漏洞利用代码(4)，如图6所示，ko.exe文件打开了cmd.exe来创建、查询和关闭一些文件，下载文本中指定的文件并执行，图7 ko[1].exe下载文件分析到临时文件

从filemon的监控过程来看，应该是调用了cmd.exe来执行ko.exe，如图6所示，ko.exe文件打开了cmd.exe来创建、查询和关闭一些文件。

图6 ko.exe调用cmd命令

（3）ko[1].exe下载文件分析

通过文件监视器，如图7所示，Ko[1].exe在临时文件夹中78767551中生成了一些新文件，通过分析发现该程序从网站http://www.fengtianc.cn/下再ko.txt文本文件，读取ko.txt文本中的内容后，下载文本中指定的文件并执行。

图7 ko[1].exe下载文件分析

到临时文件夹中找到ko.txt并打开该文件，从中可以发现34个可执行文件，其文件内容如下：

[file]
open=y
url1=http://222.gxfcd.cn/new/new1.exe
url2=http://222.gxfcd.cn/new/new2.exe
url3=http://222.gxfcd.cn/new/new3.exe
url4=http://222.gxfcd.cn/new/new4.exe
url5=http://222.gxfcd.cn/new/new5.exe
url6=http://222.gxfcd.cn/new/new6.exe
url7=http://222.gxfcd.cn/new/new7.exe
url8=http://222.gxfcd.cn/new/new8.exe
url9=http://222.gxfcd.cn/new/new9.exe
url10=http://222.gxfcd.cn/new/new10.exe
url11=http://222.gxfcd.cn/new/new11.exe
url12=http://222.gxfcd.cn/new/new12.exe
url13=http://222.gxfcd.cn/new/new13.exe
url14=http://222.gxfcd.cn/new/new14.exe
url15=http://222.gxfcd.cn/new/new15.exe
url16=http://333.gxfcd.cn/new/new16.exe
url17=http://333.gxfcd.cn/new/new17.exe
url18=http://333.gxfcd.cn/new/new18.exe
url19=http://333.gxfcd.cn/new/new19.exe
url20=http://333.gxfcd.cn/new/new20.exe
url21=http://333.gxfcd.cn/new/new21.exe
url22=http://333.gxfcd.cn/new/new22.exe
url23=http://333.gxfcd.cn/new/new23.exe
url24=http://333.gxfcd.cn/new/new24.exe
url25=http://333.gxfcd.cn/new/new25.exe
url26=http://333.gxfcd.cn/new/new26.exe
url27=http://333.gxfcd.cn/new/new27.exe
url28=http://333.gxfcd.cn/new/new28.exe
url29=http://333.gxfcd.cn/new/new29.exe
url30=http://333.gxfcd.cn/new/new30.exe
url31=http://444.gxfcd.cn/new/new31.exe
url32=http://444.gxfcd.cn/new/new32.exe
url33=http://444.gxfcd.cn/new/new33.exe
url34=http://444.gxfcd.cn/new/new34.exe
count=34