Flashget是老牌的下载软件，拥有千万用户。在它被ZCOM收购后不长时间里，马上发布了最新版Flashget1.8。但马上就传来各种流言，包括捆绑恶意软件等行为！虽然大家对ZCOM以前的行为都有所了解，但毕竟Flashget做为国内受千万用户信任的软件，又在这种反流氓软件的风尖浪头上“做恶”是不是有点太不明智了呢？是相信自己的技术实力足以使“流氓行为”不被发现，还是就要光明正大的做流氓？笔者就在cnbeta上看到的消息，与好友共享研究出了如下结果，供各位看官自己体会！　　

　　Flashget 1.8，菜单: 选项->监视->缺省下载程序, 出现对话框, 然后 "确定" ，如果选择监控ie浏览器，会提示监控页面链接点击，这个时候，fg1.8会打开隐藏的ie进程，进行数据提交。　　

　　1、用户点击的每个地址信息，都会提交到“某ip”　　

　　2、fg1.8还会打开一个复杂冗长的url，这个url最终跳转到zcom的下载页面　　

　　下载页面http://www.zcom.com/install.html 这个页面有这样的代码：　　

　　〈OBJECT id="ZCOMActiveX" classid="clsid:5C30B6DB-CB04-4C8B-B62A-3C3B9E131DA2"〉
　　〈/OBJECT〉　　

　　这是zcom客户端的activex(ZComAgent.dll)，安装页面判断如果没有安装zcom客户端，则提示安装。　　

　　如果点击提示的下载地址：http://client.zcom.com/download/00010003 则会下载一个名为“zcom.lite.exe”的文件。　　

　　fg启动了隐藏的ie进程后，会不定时地连接 219.238.233.116(实际就是stat.flashget.com)，并获取类似“/clientaction/install/flashget/flashget/
aaa/4FDBC0FD081C63DB8933059FC1986BD1/0/4FDBC0FD081C63DB8933059FC1986BD1”的文件,该文件动态变化,实际上该文件已经包含了用户信息。　　

　　使用Universl Extractor 1.4.1，可以抽取里面的文件 在目录 \$_OUTDIR\$INSTDIR\dat\resume下面，有skin和zcomagent 2个文件 ,zcomagent是负责页面跟客户端软件交互的 ,关键是要看skin ,其实skin才是zcom客户端的核心，并不是表面所以为的“皮肤”skin文件经过upx加壳，当然也就可以用upx脱壳，也可以用刚才的Universal Extractor脱。 脱壳之后，skin文件从722k膨胀到1760k ,这个时候，我们可以ExeScope打开它。我们只需要关心它导入的WININET.DLL、WS2_32.DLL、WSCOK32.DLL 这三个网络功能库。我们赫然可以看见：InternetReadFile等这些下载数据API函数，还可以看见InternetWriteFile这些上传数据的API函数。 　　

　　Flashget在未征得用户同意的情况下，私底下采集用户数据，实在有待商榷。　　

--------------------------------------------------

　　另外还有一名网友“智能实验室灵感”对检查到的非正常地址进行跟踪，结果发现了如下结果：

 

跟踪出来的url为：

　　http://client.zcom.com/34download/

　　http://cdl2.zcom.com/zcom.lite_35.exe　　

　　还有：http://client.zcom.com/download/00010003