脱壳后再Uedit32下查看发现了Autorun.inf 的代码。

　　所以可以肯定这个文件是木马下载者。遗憾的是没办法再程序里发现下载木马的地址。后面想到了抓包截取。于是搬出我们经常用来测试软件是否存在后门时使用的：影音嗅探专家

　　接着就是冒险本机运行了下载者：

　　抓包得到了网址

　　hxxp://user.free2.7716*.net/zwj/Ip.txt

　　hxxp://lmhk.go1.icpc*.com/Ip.txt

　　这些地址。知道的人一看就明白。这个是肉鸡上线用的反弹地址的保存文件

　　那么这个我们前面分析有抓肉鸡习惯的入侵者他为了肉鸡上线就必须填写他本机的真实IP