老毛桃WINPE U盘版中包含的修改IE主页的恶意脚本，谁能来解码

ppp520

老毛桃WINPE U盘版Build 20111206中包含的修改IE主页的恶意脚本。症状是每次使用该启动U盘中的PE系统后，重启进入硬盘中的系统后会发现IE的主页被篡改为http://www.laomaotao.net/?I5327
经过跟踪分析发现主要是U盘隐藏分区中的message文件很可疑，而且该文件似乎使用了混合加密，本人能力有限，所以将该可疑文件发上来看各位高手能否解码！

Dust-;羅錠

表示新手无力解答

GiBson

楼主是在老毛桃官网下的PE不？？？我这边没有这个情况哦

英九

官网的没问题 FS扫描过

ppp520

GiBson 发表于 2012-5-6 21:56
楼主是在老毛桃官网下的PE不？？？我这边没有这个情况哦

是在官方网站上下载的，扫描是没有问题，但是确实是会改IE主页
看这里http://zhidao.baidu.com/question/419630361.html，这个是别人发的贴，最后是我的回复
并不是我一个人遇到

ppp520

英九 发表于 2012-5-6 22:00
官网的没问题 FS扫描过

可能是现在流氓软件太多了，改个主页已经被杀软无视了。。。

老机子

这个感觉小意思，无非就是想赚些流量！——老毛桃毕竟是个名人，好多GHOST版的系统都用他的！相信微软官方也知道，对了大白菜U盘系统官网被封闭了！NND！

saga3721

File ID         Filename         Size (Byte)        Result
26876097         message.rar        544.66 KB        OK
A listing of files contained inside archives alongside their results can be found below:
File ID         Filename         Size (Byte)        Result
26876098         message         665.5 KB         UNDER ANALYSIS

ppp520

saga3721 发表于 2012-5-6 22:36
File ID         Filename         Size (Byte)        Result
26876097         message.rar        544.66 KB        OK
A listing of files cont ...

谢谢，不过我是想看看它里面的恶意代码有没有造成别的破坏，就目前初步来看是IE主页修改，但是好像其调用了attrib，就不知道还有没有什么别的猫腻