win10缺少d3dx926dll-(win10缺少d3dx9_43.dll)

攻击者这次是对的CVE-2017-0199年漏洞升级，黑客攻击从一封包含恶意程序的电子邮件开始。电子邮件采用一般的诱惑手段，鼓励用户打开并阅读包含恶意程序的附件。包含恶意程序的垃圾邮件通常伪装成用户合作伙伴的采购订单。

图3:发起攻击的邮件示例

邮件的附件是一个含有OLE嵌入式链接对象RTF文件名：hxxp://multplelabs[dot]com/ema/order.doc）。在这种情况下，远程文件的mime类型不是application/hta而变为了application/msword。

其中一个Word研究人员在研究样本时发现了系统显示CVE-在系统提示2017-0199之前，word将自动转换下载文档的格式。在这之后，word程序将自动暂停并最终崩溃(如下图所示)。

图4：Word程序崩溃

Word程序的崩溃不是因CVE-由于2017-0199年的漏洞，CVE-2012-0158漏洞。下图所示即MSComctlLib.ListViewCtrl.2 ActiveX嵌入式指令是典型的CVE-2012-0158漏洞。指令由一串ROP当漏洞被激活时，链条开始自动运行。在ROP在链设置正确的权限后，漏洞指令的第一阶段开始自动执行。

图5：CVE-2012-0158漏洞第一阶段指令

CVE-2012-0158漏洞第一阶段指令就是导致Word崩溃的罪魁祸首！但也许是因为攻击者在技术上还存在不足，导致后续漏洞运行出现问题。

该shellcode将调用数个API通过暴力破解文件句柄号函数地址（handle number）来遍历所有文件。这个过程从句柄号为0的文件开始，每次增加4个句柄号打开新文件。若句柄存在，shellcode将利用GetFileSize API函数检测文件的大小。若文件大小符合预期，shellcode文件类型检测将被记录下来。

图6:检查文档大小，确定文档类型

漏洞指令的错误在于，如果发现是一个错误RTF文件，然后满足所有条件，找到这个RTF文件还将包含另一串指令。如果寻找到的文档类型和大小满足要求，那么下一个步骤就是读取该文档，以寻找下一串指令。但这一步在我们的实验中失败了，因为原始的CVE-文件还存储在系统中，使用2017-0199漏洞。本文件符合上述条件。由于CVE-2017-0199年漏洞利用文件CVE-2012-0158文件打开，CVE-文件的句柄较小，导致他首先被读取。

图7:第一阶段指令开始搜索下一阶段指令标记

漏洞指令开始在错误的文档中搜索下一个指令的标记0xfefefefefeffffffff，这最终会导致内存保护错误（memory protection error）。如果漏洞制造商有更好的技术，他会意识到这个错误并相应地纠正它。因为只要两个漏洞同时运行，文件就会成功运行。

一种改进方法是修改单个字节，更严格地修改漏洞命令中判断文件大小的命令，以便在搜索时排除CVE-2017-0199漏洞利用文件的搜索。另一种方法，有点困难，这种方法可以指令不在RTF在文件中搜索下一个命令标记时，假设Word符合条件的已打开RTF文件。

假如没有其他打开的RTF文件，CVE-漏洞将于2012-0158自动执行。因此，为了保证研究的完整性，我们研究了剩余部分。