建议论坛屏蔽“谷普下载站”

polly521

http://bbs.kafan.cn/thread-714930-1-1.html
http://bbs.kafan.cn/thread-713686-1-1.html

以上链接是“久一”会员的两个QQ表情下载帖。

下载后解开压缩包，会看到这样的情况。



文件中有个”@运行.exe“。常用绿软的朋友应该见识过这样的exe，比如绿盟，绿色下载站下载的不少软件都带有“@安装.exe”，“@卸载.exe”这样的文件，是为了注册一些程序运行的必要文件编写的。

不过谷普下载的软件里面的这个exe可不简单。



右键可以看到这个exe的属性。原来是rar打包的一个exe，并且熟悉rar打包或者脚本语言的朋友一看就能明白这里面写的是什么。

Setup=setup.exe
Setup=sobar.exe
Setup=install.exe /VERYSILENT /SP- /NORESTART
Setup=fav.exe
Setup=fav.bat
TempMode
Silent=1
Overwrite=1
Update=U

简单解释一下这里的脚本：
解压缩到temp路径，解压缩的过程没有任何提示。解压缩后依次运行setup.exe，sobar.exe，install.exe，fav.exe，fav.bat。其中运行install.exe加了命令行，根据这个命令（VERYSILENT——非常安静模式）猜测，这个安装不会有任何提示或者窗口。

既然是rar打包的，解压缩看看吧。



果然就是这些东西。

我尝试运行了一下setup.exe，没有任何提示，win7弹出UAC窗口，选择阻止后，安装程序弹出提示，无法写入c:\windows，然后退出了。OMG，什么程序啊，要写入C:\windows

sobar.exe，从名字上就能看出来，不出意外的话应该是百度搜霸。

install.exe，鼠标移动上去可以看到是“谷普浏览器”。原来是下载站自己的浏览器。

看了上面的分析，大家觉得如何？这不就是前几年人人喊打的捆绑流氓插件的行为么！谷普还算善良，没有把QQ表情包跟这个“@运行.exe”捆绑在一起。

这还不算恶劣呢。还有两个文件没看呢。fav.exe和fav.bat。。。。



fav.bat的内容。下面还有很长，多了不截了。这个bat的作用是向浏览器收藏夹添加一堆网址。

fav.exe，光看图标就是个rar打包的exe。看看注释里面有什么~



注意解压路径，C:\，依然是安静模式，也就是说你运行以后，如果是XP或者没有开启UAC，则任何提示都不会有，文件直接写入C盘。（吐槽一句：网上那么多所谓的高手推荐大家关闭UAC，为什么！）

解开fav.exe，可以看到它的内涵~



配合上面的解压路径，这个exe释放的文件直接进入了windows和document and settings。



进入windows文件夹的文件有两个，一个.reg，一个.bat。有心人可以仔细看图，会发现winvb.bat是隐藏文件。

bat文件的内容



就一句，调用regedit将.reg的信息写入注册表。

reg看来是关键了。



果然。修改了主页和搜索的设置。搜索的设置应该是带有推广性质的了，可以给打包者带来财富的~

再看看Documents and Settings下面是什么。



原来是在启动文件夹里面添加了一个名为club的快捷方式。



查看一下club的属性，原来这个快捷方式指向了释放到windows路径下的那个隐藏的bat文件——winvb.bat。

综合一下吧：

fav.exe运行后，将会首先释放一个winvb.bat和一个winvb.reg文件到windows目录下并且运行，运行的结果就是用户的主页和搜索页被恶意修改成打包者指定的页面。然后，它会释放一个指向winvb.bat的快捷方式到启动文件夹，这样每次系统启动，都会运行一遍winvb.bat，也就是主页又会被修改成流氓页面。

从无提示安装百度搜霸，谷普浏览器和某不知名软件，到无提示情况下恶意修改用户的IE设置，添加自己的主页，搜索页，并且添加到启动文件夹保证用户每次启动，主页都会被指向流氓页面……这个“@运行.exe”真可以称为不折不扣的流氓！

这样的行为也许算不上病毒，但是会给用户，尤其是普通用户带来非常恶劣的体验和影响。而很多计算机知识并不丰富的用户也许无法避免的中招。

综合上面的分析，为了保护广大卡饭的合法权益，我建议论坛封杀谷普下载站。并且调查一下发帖人——“久一”与谷普下载站的关系。

polly521

以上言论本人负全责。
大家可以自行下载验证。
刚刚在“久一”的个人空间里面看到了“经典连连看”和“植物大战僵尸”两个帖子。

经典连连看我刚刚测试了，安装完以后，如果不去掉“运行经典连连看”前面的勾（默认是选中状态），就会自动运行安装路径下的一个名为“破解补丁.exe”的程序，此程序跟主帖里面分析的“@运行.exe”一模一样。只是名字改了而已。

植物大战僵尸貌似有版主提出过类似的警告了。具体情况请看帖子：http://bbs.kafan.cn/thread-673582-1-1.html

这样的打包，比我主帖里面的分析更恶劣。

请管理层尽快对其进行处理！从测试的情况看，这种情况并不是偶然的！！

lomo

惊现技术帖
我对LZ的膜拜如茶舍之水滔滔不绝

漠时

好厉害[:27:]

rayismyname

唉，那些友情链接有些都打不开了

甜酸排骨

从楼主的分析来看，的确很不应该了~！支持禁掉了。

平淡

已短信PM久一，在此后2天如果他提供的软件还存在此类情况，将做出处理。

乘风

支持楼主，反对流氓

高手！

lzw555

惊现技术贴唉,支持~

451102995

呵呵！LZ的多步行为跟踪检测能力比绝大多数的智能HIPS还要强悍啊！佩服佩服！