今天说的这个事件是天下网吧论坛某位坛友（顺网小哥）亲身经历的一些事，事件经过是改天下网吧er在网络上下载了一个号称是免费破解版的某品牌网吧计费工具（非官方下载的版本），安装使用完客户端时发现了一些情况，然后开始跟踪调试，下面是分析的过程和结果：

分析过程

1、部署安装win764位行为抓取软件，设置好共享目录。收取每天客户机的日志

2、等到客户机出现盗号时候，有玩家反馈是某某机器盗号的，那么提取当天日志

3、日志关键性截图

CMD将一段信息写入到VBS里面，并且下载了yejibbs.exe程序，这个就是一个非常危险的操作了。通过日志查看是IE浏览器创建出来的CMD，然后再执行的vbs脚本。IE肯定是不会主动去做这个事的，推测是用户浏览了什么页面后加载了恶意的js脚本”迫使默认浏览器执行了这个操作“，即使没有IE，你默认浏览器设置的F1的话也会去执行的！然后再网上查看是否能看到IE浏览器的页面记录

在前几秒的时候看到万象的MainPro.exe做了一个退弹的动作，给默认浏览器发了一个参数地址，地址是"ad6201.dnsorg.net",这个是比较可疑的，现在来抓下这个ad6201.dnsorg.net的封包

从提过来的数据查看，MainPro.exe做的弹窗目标地址中的封包数据跟木马下载路径的地址是一模一样的，连端口号都没错，这就不是巧合这么简单了。确实是使用的破解版净网先锋，这样问题就自然清楚了。