近期，有多位用户在深蓝软件SVIP群里反应了遭遇大面积盗号的情况，希望大家一起分析，因为群里都是些上百家的大网维，很快大家对情况进行了汇总和分析。

首先大家注意看cmd.exe 与 cscript.exe 两个文件被利用并连接了不同的电脑的IP。

同时有SVIP用户反应了该病毒在他的网吧通过 1026端口来传播病毒，并抓住了一段VBS，深蓝简单分析一下这段VBS的含义:

这段VBS代码首先是创建了一个对象，为了迷惑用户和杀毒，采取了 replace在命令中插入多个无用的字符，再在使用前替换掉字符。

然后通过 http://的方式下载 bugreport.exe 文件，之后该 VBS以参数的形式运行 ospp.vbs 192.168.0.172:1026 传入IP与端口。

最后VBS在运行完所有功能后会删除自身。

下载的病毒是免杀的，是否是收费机中毒还是和收费软件被利用有关？有待进一步验证。

扫描局域网后发现只有收费机开了1026端口。

解决办法：

用户测试后，屏蔽1026口后问题解决。后面端口可能会变，思路就是这样，灵活去处理吧。