所谓破解报毒什么的，以后除了3DM官方的汉化组以外我再也不信了

by22dgb

上次是那谁发的BreakQuest，这次在我自己的珍藏中又发现一个

歪歪乐君汉化的华丽荧光鱼

地址：http://www.verycd.com/topics/2907296/

症状呢，当然是打开时报毒了

但是很有趣的一点是，把原来的Glowfish.exe删掉，再把Glowfish.dat改名为Glowfish.exe并执行，能正常进入游戏，而且两者的图标还不一样

而根据VC上的高人的话说，原理是这样的：

1、用沙盘运行时发现游戏伪主程序释放mfc42w.dll文件到system32目录和系统temp目录，试图以驱动或服务的方式加载该生成物。
2、用md跟踪发现，伪主程序释放mfc42w.dll和Glowfish.dat（这个才是真正的游戏主程序）后，试图清除注册表中netsafe.sys的相关键值和（可能是为了避免和同类冲突，造成影响，后面会有相关信息），然后将mfc42w.dll加载为核心层服务，加载后就退出了，估计剩余的动作由mfc42w.dll这个服务来实现。
3、进一步跟踪发现，伪主程序访问了222.174.218.114:83这个地址，以此地址百度搜索可知很多相关信息，推断这个可能是netsafe.sys的同类。
4、伪主程序退出后系统未见明显异常，md也没有报告其它什么动作，但在开启md网络保护的情况下，一旦使用ie访问任何网站或网址，虚拟机XP系统立即无条件自动重启了，所以说，据此分析，mfc42w.dll这个服务肯定劫持了某种网络方面的服务。

确认是病毒，毒霸已经拦截，命名为“淘宝客欺骗者”（Win32.Troj.Agent.a）。在淘宝上交易时会自动跳转到淘宝客搜索推广.此后，任意交易卖家就要付出佣金，淘宝也会因此多支付佣金，病毒作者成为最大受益者。据金山毒霸云安全中心统计，此类“淘宝客欺骗者”病毒感染量在百万台左右。
PS:百万台啊，这可是在云监控的情况下啊。。。看来病毒作者很牛啊！

目前检测结果是，运行英文原版游戏，一切正常

运行汉化版游戏，游戏会替换一个系统文件，并在后台访问一个网站

目前暂时的结论是：这是汉化小组为增加他们网站的访问流量，而设的一个后门

不过也有可能，是为木马留的后门

————————————————————————————————————
现在已有多款杀毒软件报毒，至于信不信，决定权在你自己。

当然不能听他说了就算，于是我重新从3DM下载站下载了一遍，运行了一下原来的Glowfish.exe

于是在%homepath%\Local Settings\Temp下发现了跟他所说一样的mfc42w.dll

好吧，反正我登录淘宝是没有被定向到假站什么的，但是我基本可以同意橙色部分的结论，或者是汉化版使用的破解中带有木马，我个人从情感上更加倾向于后面一点，事实上，谁知道呢………………

事实上我不是来批判这种行为的。其实，我对这种行为表示完全能够理解。只是以后什么汉化再报毒什么的，我一定会小心了。

我很沮丧，原来有些时候破解报毒是因为主程序被加了壳，而有些时候加壳是为了自己的利益…………我感觉自己的信任，被人利用了……

总之，有收藏这个游戏的同学，把Glowfish.dat改成Glowfish.exe，删掉原来的那个玩吧。

反正游戏汉化的还是相当好的，质量也很上乘