我和黑大佬的365天完整版中文翻译啥时候出

 QQ表【biǎo】情本来是广受用户欢迎的一个实用工具【jù】，然而，最近有【yǒu】人却利用人们【men】对QQ表情的喜爱，将【jiāng】其变成了一种恶性【xìng】病【bìng】毒。最近，笔者不断接到求助电话，受到一款名叫多多【duō】QQ表情病毒的骚扰。笔者随即对这款工具软件进行调查，发现了其【qí】背后还暗藏着惊人秘密。

真相：公开捆绑传播，被指暗藏病毒

在百度上搜索“QQ表情”，找【zhǎo】到相关网页【yè】约1,660,000篇，搜索“多多QQ表情”，找到相关网页约660,000篇，通过这简单的计算，多多QQ表情拥有QQ表情市场近40%的市场占有率。那么这【zhè】款有【yǒu】着惊人市场占有【yǒu】率的软件到底是一款什么样的软件呢？

根据其官方介绍，多多QQ表情是一款专门为腾讯QQ用户打造【zào】的免费软件,提供超炫QQ表情,点击就能导入QQ表情中,导入完毕【bì】就能在QQ聊天【tiān】时使用【yòng】,丰富您的对【duì】话。同时【shí】QQ表情还向软件作者和站长开出了价码，称将按0.05元一个的【de】价【jià】格与软件捆绑，且特别声明，在安装成功后【hòu】在添加删除程【chéng】序中可以看到“多多QQ表情”选项，可自由卸载。

真相【xiàng】到底是怎【zěn】样呢？在百度里，笔者发现得更多【duō】的却是和求助电话里类似的内容。

同时，笔者向一位做安全的朋友求助，他【tā】称，多多QQ表情虽然只有47K，而且表面上可挟载，但它确捆绑了另一个叫Update的病毒。而这已经大大超出了之【zhī】前大家所定义的流氓【máng】软【ruǎn】件的范【fàn】畴，因为，在诺【nuò】顿和瑞星里，大家已经将UPDATE定义成了病毒。

对UPDATE的分析

显性动作

[SetHomePage] Url=www.9991.com/

[PopupIE] Url=www.chanet.com.cn/click.cgi?a=6606&d=3086&u=

[PopupIE] Url=www.b2b2.net/51gg/index.html

[PopupIE] Url=www.7mp3.com

[PopupIE] Url=www.600001.com/

[PopupIE] Url=www.600005.com/

隐性动作

[Actions]访问 Url=file.qqhelper.com/up/update.dat

[Update]升级 Url=www.yulexingkong.com/mop/uninstalldrv.exe

[Update] Url=www.ha0l23.com/softbaby/uninstalltmp.exe

[Update] Url=tongji.qqhelper.com/tj/tj?setupid=$(setupid)&mac=$(computerid)&type=$(sendflag)&version=$(version)&exeversion=$(exeversion)&setupdate=$(setupdate)

在机器生成以下目录以及文件：

C:\Program Files\Common Files\UPDATE

update.dat

update.exe

以上动作都是update.exe干的

另外生成一个目录以及文件：

C:\Program Files\Common Files\SAND

updatesr.ini

svr.dat

qqfacerclient.exe

twunk_8.exe

还没有看到具体动作，有潜伏期。

背后：商业动机 弹出全球百强网站

多多QQ表情敢于挑战法律，公开捆绑恶性病毒，目的何在呢？笔者随后【hòu】又对其展开了进一步的调查。首【shǒu】先，笔者打开了其弹出的第【dì】一个网站9991的链接，吃惊的发【fā】现，这家成立【lì】于2005年10月第二个星【xīng】期【qī】的网站，在ALEXA里【lǐ】的排【pái】名居然已经上升到了全球前100名。如果按照其REACH值1万来【lái】推算，其流量已经达到了【le】新浪的七分之一。

那么【me】这家网站又是通过什么手段如何神奇般【bān】在3个月之内的由0做到全球100名呢？那就是前面被诺顿和瑞星认定的多多QQ表【biǎo】情携带的UPADATE病毒。同时【shí】，笔者打开多多QQ表情指向的其他相关网站【zhàn】，同样发现了这个这恶性病毒所【suǒ】带来的巨【jù】额流量使这些【xiē】网站在短【duǎn】期间内搭上了超级 火箭。

谁是幕后黑手？

在百度里【lǐ】，笔者输入“9991”显示的第一条结果是"9991实用生活网-网【wǎng】址【zhǐ】大全-分类信息-实用查询",而对应的链【liàn】接是www.woyaoshang.com(我要上),而不【bú】是www.9991.com,进去一看,内容和9991一样，相关的联系方式和9991也是一模一样【yàng】，可以断定，他们是同一个人所为【wéi】。

在DONEWS一【yī】篇BLOG暴料：“现在网站打着"9991.com是绿色安全网站,多家媒体宣传、推荐,点【diǎn】此查看【kàn】",看来【lái】流氓改良了，不从事流氓事业了，关键是以前被你流氓的用户怎么摆【bǎi】脱痛苦！！！!www.woyaoshang.com又是谁注册的呢？自己没有到域名注册商那【nà】去搜索，而是直【zhí】接到【dào】了www.alexa.com 去查，查询到的【de】邮箱【xiāng】是whocool@163.com,，再回到baidu搜索【suǒ】这【zhè】个信箱，原形就出来了！邮箱无一例外都指向了同一个人-――大名鼎鼎的庞升东。”

看来，表面的众多证据，都指向庞升【shēng】东。但是，幕后到底又【yòu】有怎样的实情？计世网将继续【xù】跟【gēn】踪报道