网吧出现客户机盗号，进程多出一个wowexec.exe进程，一直都找不到原因，经过一系列排查，发现是使用破解版净网先锋导致导致的。

　　分析过程

　　1、部署安装win764位行为抓取软件，设置好共享目录。收取每天客户机的日志

　　2、等到客户机出现盗号时候，有玩家反馈是某某机器盗号的，那么提取当天日志

　　3、日志关键性截图
　　

　　CMD将一段信息写入到VBS里面，并且下载了yejibbs.exe程序，这个就是一个非常危险的操作了。通过日志查看是IE浏览器创建出来的CMD，然后再执行的vbs脚本。IE肯定是不会主动去做这个事的，推测是用户浏览了什么页面后加载了恶意的js脚本”迫使默认浏览器执行了这个操作“，即使没有IE，你默认浏览器设置的F1的话也会去执行的！然后再网上查看是否能看到IE浏览器的页面记录
　　

　　在前几秒的时候看到万象的MainPro.exe做了一个退弹的动作，给默认浏览器发了一个参数地址，地址是"ad6201.dnsorg.net",这个是比较可疑的，现在来抓下这个ad6201.dnsorg.net的封包
　　

　　从提过来的数据查看，MainPro.exe做的弹窗目标地址中的封包数据跟木马下载路径的地址是一模一样的，连端口号都没错，这就不是巧合这么简单了。确实是使用的破解版净网先锋，这样问题就自然清楚了。