话说最近艳照门一个接着一个,先有兽兽同学滴。然后有北影的张雅茹,还有今天我要说的主角成都工行滴郑璇同学~
今天破天荒的8点起床了(极其不情愿,被逼的),并且忙了一天,而且今天重庆的温度相当的高,衣服都被汗水湿透了几次!
下午四点多的时候终于回到家中了,看到推上又有人提到了最近艳照门颇多,才想起原来我还没有下载来看完过,于是拉出驴子,上KAD网络搜索了一下,在出来的一大堆资源中选了个源最多的开始下。
郑璇同学的这个视频不大,50多M的体积让我2M的小水管都很快下载好了~
下载完后,解压缩发现有几张郑同学的生活照,然后最后面的是一个exe的可执行文件,但是图标被改成了普通视频文件的ico。这个文件有52.6mb,我想应该包含了真正的视频文件,于是准备用方法从里面导出视频文件。
查看属性发现这是一个winrar的自解压文件,里面包含了play.exe和play.wmv 2个文件,并且发现了有如下的自解压脚本
Setup=play.exe Setup=paly.wmv TempMode Silent=1 Overwrite=1
哎,又一个用心险恶的文件!提取完想要的视频,选折了这个巨大的自解压文件,准备删除的时候,悲剧发生了,一不小心肘子按到了回车键,程序执行了!
当时大囧,这么神奇的事情都能发生?不过还好,程序执行后几秒钟会提示错误,根据跑出来的异常发现是往注册表写入数据失败,而且杀软没有反应,要么是这玩意没有啥危害,要么就是太厉害了,杀软木有发现。
于是提取play.exe 用OllyDBG载入,发现是加了壳的,用PEiD查看发现这是一个aspack的壳,脱之,出来的可执行文件恢复为208kb.
再次用OllyDBG载入,看了下,发现这个东西想要给我注册表中几个位置添加新的键值,而且想要设置IE的首页为:992K.com 、 52ebook.cc 、 16761.com 这三个网站。
打开注册表,删除了几个键值,发现果然抛出异常的那个地方没有被写入,而且IE首页也没有被更改(程序出现错误后自动退出了,还没来得及更改吧!)。
最后,我诅咒这三网站早日关门大吉!
