下载被运营商劫持,哪位大神能帮忙看看这个程序都做了什么恶

2018-08-01 16:30:17 +08:00
 novobo

劫持后地址为 http://124.117.238.230:8000/?id=117352/?tid=1904/?rd=www.51xuele.cn/51soft/51xuele-fxzx3.7.rar

原下载地址是 http://www.51xuele.cn/51soft/51xuele-fxzx3.7.rar

下载回来后发现压缩包损坏又试了几次,正确的压缩包大小为 700 多 k,劫持的为 1.4MB ,也不知道软件是什么,大家能帮忙看看么?

我试着把 rar 后缀改为 exe 后可以运行,程序会在临时目录,释放“ 51xuele-fxzx3.7_s.exe ”和原本压缩包。“ 51xuele-fxzx3.7_s.exe ”运行后自删除,通过 process monitor 大概看了下它在本人电脑临时目录释放一个“ 38409750.bat ”的文件。对注册表系统目录都有操作,本人水平有限其余的也看不出来了,请大神帮忙看看。

4366 次点击
所在节点    程序员
23 条回复
novobo
2018-08-02 17:23:58 +08:00
@mytsing520 我之前没有发现它被劫持了,等我发现时候就晚了没有对数据抓包。

下载的文件两个大小完全不一样,劫持后的文件被夹带了私货,多了 700 多 kb。请仔细阅读我的帖子。
novobo
2018-08-02 17:24:44 +08:00
@mokecc 下载的文件两个大小完全不一样,劫持后的文件被夹带了私货,多了 700 多 kb。请仔细阅读我的帖子。
novobo
2018-08-02 17:29:54 +08:00
@gcod 这个 767 kb 文件有毒就有毒吧(该程序是法宣在线的代学习软件,充值包年收费软件,未发现向系统目录及注册表乱动手脚)主要是从那个 124.117.238.230 运营商处下的 1.45 MB 的文件捆绑的其他程序到底是干什么的我很好奇。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/475984

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX