自優(yōu)化大師推出V7.93.9.303版本以后,不少安裝此版本的用戶隨即發(fā)現(xiàn)�����,自己的電腦中多了一些不明文件及程序����,并且搜索引擎被強行篡改�����,隨即紛紛到優(yōu)化大師官方論壇提出問題����、尋求解答��。但眾多用戶的反映卻未收到官方任何回應(yīng)�,反而被一一刪帖�。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文,引起各方關(guān)注���,官方才匆匆發(fā)出一個公告,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序����,對網(wǎng)友反應(yīng)的其它問題卻只字未提����。 2 X/ e! \5 b# e! h$ S* t" m
; e6 n/ {: h J z 做為多年的優(yōu)化大師使用者,筆者也是第一時間趕到官方論壇��,本著對優(yōu)化大師多年良好聲譽的信任�����,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法����,然而�,卻遭受到了刪貼、封IP�、鎖ID的待遇��。一個“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應(yīng)��,不禁令筆者疑竇叢生,于是對此版本軟件進行了詳盡測試�,并參考一些網(wǎng)友的反饋,得出結(jié)果令人大跌眼鏡��。下面我們就來看看這個新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進行“優(yōu)化”的:
3 L" a! A7 C0 n) j5 ^8 }
& Q4 G- w* J/ B: o; q 1�����、強制安裝GAMEHALL游戲大廳:
' O) b/ V3 e& G- T' `
) }9 f" F3 E9 v# p! o8 S 默認安裝在C:\ProgramFiles\GAMEHALL,并在開始菜單添加快捷方式�。
) f4 g7 S+ q2 ~9 d1 J7 H/ \5 {( [; `2 q# a
2、強制添加并篡改IE搜索引擎: / P% A8 `7 i7 p: j- {& e5 x
# ]3 b4 k" Z/ B1 n4 _, H+ ~& ` 安裝新版Windows優(yōu)化大師后��,即使不選擇任何設(shè)置����,系統(tǒng)注冊表會被修改���,添加和修改的內(nèi)容如下(此項內(nèi)容引用網(wǎng)友評測):
& K1 [7 {: z) J# x! z1 U5 Y Y- @1 X& ^% w
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search] 9 r$ P* @6 @2 \
/ h w& t# p9 u5 l6 L2 h
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg"
* r9 t" X+ m8 L8 U- @0 B8 W, Q0 |6 d5 c$ g% Z# C ]
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
7 ~) A, q8 n. h, g7 n: F& m& f2 D9 u O) ^
[HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
. O7 g# @1 a3 B3 v8 h4 K* f y; `' T. z1 }; U9 e
"Masters"="0F0F0F0F" : T6 |" b9 G! M% b3 C
; l- u s! }; i+ i. I ]( h* N4 u
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" / o u) k W. g5 \: w" V: ^
, m5 S+ t+ ~' R3 p
"WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
& u0 i; L" G" J
8 M3 g+ K) v) G' F. K3 B [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
6 S" y5 b+ |8 {: z' V& i5 h8 e! G# W; f& ^: H6 J% ^
"DefaultScope"="Baidu" / U% Z" s, E8 ^1 Q7 m8 q5 C2 J: l
' f4 c4 L9 x) ]5 N+ u& M
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}] 5 a7 i" a* Z# l
0 g3 V8 n, G1 I3 a5 @. K$ q "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
' _5 A+ y+ L | J# y9 s- Q4 t9 v) t1 q m( g0 b6 C i$ Q7 E& {0 O3 E" F
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu]
8 o" Z9 F/ G* [9 ]' A+ `; u |( h3 t8 Y( S- W' x2 y
"Codepage"=dword:0000FDE9
& G# ]' x8 F; `& L( \2 u# @6 k- Q5 n$ a# @$ x9 A. w" [
"DisplayName"="百度搜索"
2 a. V/ I: a/ K: B$ a2 t! z
/ Y4 e. ~- V5 L0 g "SortIndex"=dword:FFFFFFFD 6 N1 L) B' h! y
& Z7 W; q) L6 n; n "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" ; b7 r: f! i, R9 g, \
- s6 d8 g1 K7 z. e2 v' ]
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] ! @% ^, p6 G h3 b8 ?- \
- L/ \" A/ {: w' S8 I "Codepage"=dword:000003A8 / `7 B0 v2 U$ h: q
9 \& A Z9 N C+ i9 v3 A) b# Z
"DisplayName"="谷歌搜索" & q- A q# R" N* u$ g6 S
- N5 m: V! s0 e+ [2 ]$ B "SortIndex"=dword:FFFFFFFE
2 i% w2 {, B! z0 ?2 _; t8 q5 @6 W1 C }/ i# O. X1 {
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=" 0 h1 i, L5 _7 |3 U$ r6 z2 S0 o
3 D$ o0 u: q l+ B6 Z# d7 a
[HKEY_CURRENT_USER\Software\Microsoft\Windows]
1 P0 K( r2 q9 y2 ]* W; c
3 E, \/ y. t9 r3 }/ y "Verion"="0013E86C8919" 3 @0 H( S3 ~& V- P$ X' @
2 f S. L1 R$ }8 e
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections]
h1 X+ s3 M: U* I5 ]( s3 F6 c$ u- h0 z0 K/ I
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
3 B1 X9 P1 M* H$ @! Z# W0 H, Q6 y& P
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
0 n, p% e' M' X* K: a5 E2 E4 \ z* X1 d6 ]8 Y% U6 B
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 + @6 q- ~. A; I. x
. e6 h3 k9 L1 a2 K' h, _% L
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3]
$ X6 k- o! \7 {- ?6 k$ m. C$ d0 |3 {+ f8 e. q
"1803"=dword:00000001
) X4 u, u" v! Y) r/ I3 `7 R6 S3 j% Q/ `; b6 A
同時中途可能會連接以下不明網(wǎng)址: $ V1 b; r) V _0 P g" Y
7 v% Y# Q1 L- `. N
www.930930.com 0 B5 R" l, }& M6 j/ C2 ]
# b2 R! w/ B% o0 F7 d www.304304.com 1 ~! C% T) T" z/ P& c
' g1 _9 L. ]6 J% C www.072072.com
0 x' j& u/ |6 b# u% B, `6 K+ G5 X6 m
072072.com 8 V5 G, q9 ]- y3 k" m- t
2 {1 h! t& \* `8 R* G6 e
www.146146.com
\' _, x' j$ i3 C
! }7 z. |& O6 l2 `9 J& ?3 ?& c 146146.com
/ r5 `5 @2 A$ T+ f+ M: G! x1 p1 G4 C! O; x2 ~' F2 R% M4 e6 q# H) H
397397.com & s. b* k8 U& C, ]
) W0 ~; |9 v i2 C& v/ M
265.com
( A# V B" B) b2 |; _0 o; o: A N. D8 n8 b4 }# f
liveupdate.baidu101.com ; E" G8 H. @3 w K I$ Z {
8 g$ y9 m* v* }
3���、強行修改注冊表并劫持COOKIES:
9 }0 P0 y, d5 U( j1 k+ ], e! e3 K. f! C D$ N
安裝新版Windows優(yōu)化大師后����,會在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software��,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符�����,下同),同時���,修改注冊表以下兩項: 0 s6 y$ [2 c! b/ [- E
4 W% P# P$ P f# z9 P# _- [
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies $ ]' W4 ^4 [; q: Y, q# T4 n
0 y/ {+ a6 R0 W$ ?5 H& I HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 5 j C( ~: x+ K- `/ ~
$ t/ H0 c: T" L7 S3 j
為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat 6 c- t' d1 u( g& I; L9 T7 s" T0 f
& ]6 F: |' |& m6 m7 R& x; S 此項內(nèi)容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網(wǎng)站的行徑�,掩飾那些不停生成�、快速增長的cookies文件��,而強行將用戶COOKIES劫持到新生成的Software文件夾����,只不過,因為技術(shù)人員的一時馬虎����,忘了將最外層的Software文件夾也加上“隱藏”屬性��,才暴露無遺……
) T5 m+ p5 ^- U2 t8 E; y3 P( c
5 Z' C! N% s9 t' c0 _, K 4���、APIHOOK:
# P$ b; I2 \6 h3 |: Y7 D
3 C% i+ k6 H# [ 安裝新版優(yōu)化大師后���,會將系統(tǒng)入口點FindFirstFileExW掛鉤至0xB8ED3A26模塊�����。
& k2 }7 x( C D
7 f E( Y h5 P# v6 O 此項為網(wǎng)友反饋����,因筆者水平有限�,對此不甚了解,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息��,還希望有技術(shù)高手繼續(xù)研究分析出其實質(zhì)�����。
" |4 r- _8 d* t; T" ~8 ~# Q {, i8 ~. b/ \6 z3 j. _
至此��,真相大白……
! K2 N2 L' b* j) H" L0 q6 d8 p' |7 f6 D0 o: Y3 o1 s6 n' Q5 k* ^6 Q
我們再來復習一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下�,在用戶計算機或其他終端上安裝運行����,侵犯用戶合法權(quán)益的軟件�,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計算機病毒除外。其具有如下特點:強制安裝�����、難以卸載�、瀏覽器劫持、廣告彈出���、惡意收集用戶信息����、惡意卸載����、惡意捆綁等。
* Z* m; u# C6 `. ^* m) r0 }5 H
- E9 T' z; q+ ~1 c, I) v. ~ 由此定義���,對比新版優(yōu)化大師的行徑,相信大家自會有所明斷�。 6 L) @3 Y( Z/ A# m. I5 U
: Z! u! M' x$ M8 Y; E
在CNBETA發(fā)文之后����,優(yōu)化大師官方迅速推出了V7.93.9.305版本�,將游戲大廳修改為安裝可選項,但據(jù)網(wǎng)友反饋�����,其篡改搜索引擎的行徑卻依舊故我,其它幾項暫未做檢測���,故不加評論����。
2 q: {( l; }, L0 p0 r- b8 y, v# x! E4 b& l! [/ ?
因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復被篡改的系統(tǒng)�,故在此提出簡單修復解決辦法�,僅供參考 6 ]) c6 @5 {) P7 S
( \( J3 G8 B @
當然了,修復的前提是先卸載掉此版本優(yōu)化大師~~ 5 D- M8 T: P& ]
) K1 \1 ~4 n: j. ?4 R, B: M; y
針對前文所述4項內(nèi)容����,進行以下修復: $ k' ]( o: `6 V8 O3 v/ t, m
/ M, D; B, m, P7 h% ?
第1項可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式�;
) X0 x% _( L4 Y# c3 k1 [
1 p7 a6 n: j2 T, `0 ~" @ 第2項可在卸載優(yōu)化大師后,在IE的INTERNET選項中自行修改(WIN7系統(tǒng)最好同時勾選“阻止程序建議對默認搜索提供程序進行的更改”)���,之后手動清理注冊表以上所列項目; % Q. `- u2 Y/ j9 s$ r7 ?1 ~
0 ^! @3 X+ H" B' n" M8 r) d 第3項需修復注冊表以下兩項: 6 G9 e7 t" Z9 }- b
7 Z8 t; V2 p2 I HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
5 L, \# Y, Q1 q
: _$ M7 B+ e& _! b& \ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
, \* G6 h: x6 ?( I/ n6 X+ F8 j% o0 g3 Y7 d# Z0 Y1 d/ E3 S1 O. S
VISTA�、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies * i) g- n5 O- e! v: _ R# ]
4 g1 e8 J' e+ E4 @ XP下將兩項分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies
& t: N1 L" I7 S+ r
* }1 w) B( E w& _6 v 重啟電腦后刪除所有盤符要目錄下的Software文件夾���; 7 Q# t" w+ W# C4 P1 O& k# Q
4 X C; b8 e9 G% W' { 第4項因筆者水平有限���,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
