自優(yōu)化大師推出V7.93.9.303版本以后���,不少安裝此版本的用戶隨即發(fā)現(xiàn)�,自己的電腦中多了一些不明文件及程序���,并且搜索引擎被強行篡改�����,隨即紛紛到優(yōu)化大師官方論壇提出問題、尋求解答���。但眾多用戶的反映卻未收到官方任何回應�����,反而被一一刪帖�����。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文��,引起各方關注���,官方才匆匆發(fā)出一個公告����,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序����,對網(wǎng)友反應的其它問題卻只字未提。
* x3 R/ D7 |; n* y! }; J- H/ Y$ z1 l7 r4 _
做為多年的優(yōu)化大師使用者����,筆者也是第一時間趕到官方論壇,本著對優(yōu)化大師多年良好聲譽的信任�,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法�,然而���,卻遭受到了刪貼���、封IP、鎖ID的待遇�。一個“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應,不禁令筆者疑竇叢生����,于是對此版本軟件進行了詳盡測試,并參考一些網(wǎng)友的反饋����,得出結(jié)果令人大跌眼鏡。下面我們就來看看這個新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進行“優(yōu)化”的:
3 b2 `% W& X$ m- k/ z' ]- Z, |$ z9 F" o( E0 v" `
1����、強制安裝GAMEHALL游戲大廳:
0 I( R4 ^+ r2 I' u& c C! H2 t; S8 m9 W; j* V
默認安裝在C:\ProgramFiles\GAMEHALL,并在開始菜單添加快捷方式�。 - d& F+ F v- D; I) }/ u5 Z& {
5 u6 a! p* Z3 ~" ?# s/ G6 U8 m5 c
2、強制添加并篡改IE搜索引擎:
2 b6 r3 g" N2 o! z3 \! `0 @9 U
& L* |( {, l. X 安裝新版Windows優(yōu)化大師后��,即使不選擇任何設置�,系統(tǒng)注冊表會被修改,添加和修改的內(nèi)容如下(此項內(nèi)容引用網(wǎng)友評測): 0 h5 D. R- O% N9 w0 ^+ J
$ g) m, U- @0 T: f8 x- y: q" f
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search]
! m: D( j6 V5 {2 ~ w. V" a+ ]: S. T+ g: C5 J' ]0 `
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" $ P6 y) u: x+ d5 Z# Z
7 ]2 F8 [% W! b4 I e1 L* A: I. Z "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
6 L! u U$ I ^
0 m1 \6 y% n& L4 B! c [HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
( [7 f$ S; t5 i0 S0 A5 v+ s* C) G$ _( ^& ]' `( }' g( D6 B
"Masters"="0F0F0F0F" F5 Z; I% E* m
; P- P3 u/ X, l! L1 O
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll"
: L* c: s* n: C! \
' h* D/ z8 C, t# Z9 g# A "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
. {9 d+ d! D0 `) E, g% I' p) t
( b5 M% B7 d" x6 @ [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
6 K/ Q) [: R6 ^6 ?2 h5 V
: `0 }+ s9 [4 Y, }. d9 I0 M7 @ "DefaultScope"="Baidu"
( m2 b% t! `$ w9 j2 {8 x
% `3 v: ^& ]2 w/ l( h( O* H [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
1 r5 l. C6 N% w& h9 l) P% Q$ ?9 Q9 M2 |$ i# }4 o
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
) x. K5 D0 ?% B8 p/ T
6 T, C# h; R( v: D0 C) C) ]# m# V [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu]
' @# K3 G# T3 `: X! g4 S! @+ V
$ v2 ^' ?* f' M( W7 C "Codepage"=dword:0000FDE9
" l/ @# |5 k! E% ~2 N
4 N+ |! V7 m8 ]% L "DisplayName"="百度搜索" / M# m0 |1 D+ i- }
+ D2 h* J$ V" k+ ~ "SortIndex"=dword:FFFFFFFD
4 s2 c7 ^5 Y$ k
. a% H: ~ `: y) T "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
& b) N# S, K3 Q# s4 i- U/ {
s; h0 K' R# H- Q/ H5 _6 ~ [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google]
# S- @: J, T. D& m# Q) O! ^+ k* {4 h% G% Q; A4 P" |
"Codepage"=dword:000003A8 6 u' i& W) ~" d
; k# v2 h. W8 |: I "DisplayName"="谷歌搜索" ( I8 A& c6 t' _! C
P( c9 x' @) b( r ~
"SortIndex"=dword:FFFFFFFE
* P* i$ P+ n h3 ^4 `
3 S1 A% Q6 k+ Q2 D "URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
E& V9 X0 q1 h3 ?
) p0 L# o# d9 B2 E [HKEY_CURRENT_USER\Software\Microsoft\Windows] ' y& w4 b+ @! U: h8 h! j* Q. O _! ~
" O; U$ n; T) |5 F h/ ~' g1 ], W" c "Verion"="0013E86C8919"
7 _( r5 V. O4 b6 X( e
4 b) V3 P9 n: J6 {- |4 b+ n. U [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections] 5 g% M$ a" G" S* h
+ a" B: q7 X7 Z0 F+ r
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
9 g$ b/ }( v. k* Z
7 b2 D+ ~2 j: X/ e7 c 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\ % R' D7 A- o: k
; \/ U& ~0 g u3 b6 g 01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
; R, M- h& z; P0 D! P: _' k0 G
2 j" c% M) L' y7 i8 h [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] $ u C7 N& _+ V- K
+ E; r) J4 z% z "1803"=dword:00000001
0 Y* U4 }, F6 V7 B* t0 Q
0 O. r, k, s0 [ 同時中途可能會連接以下不明網(wǎng)址: ( ^; C: Z0 D! {8 g- M* _/ g% G& {
; G% F% I& K" Q3 i9 o4 e
www.930930.com
& v' H/ [+ B( ^1 Q# g6 Z N/ m
( p3 h h+ N3 o& S) s! B! Y; V www.304304.com ; q, ?- S' ?( h; [% \
p( \9 o3 q: T% { www.072072.com ! ]. I- E W% q1 w
5 [9 B1 `6 }/ Z# }8 I
072072.com
; ]" L9 G* B7 e% h
7 L& J j3 ~- B! j6 r$ V, [ www.146146.com
9 e9 p. |$ d3 p2 g: l
$ p+ D0 `1 n6 i8 {; A I 146146.com
+ x5 T& ]2 ?6 O0 h# v, Y E+ |( B! ?6 a) t) u$ m: B- X& C8 o
397397.com ' t1 m* A$ h& }/ O, d
, _% l& P: m3 T. X2 Z
265.com 5 d; u. S. s7 s7 g* W
! W, m1 f4 u8 d7 z5 i# P: h liveupdate.baidu101.com 8 p2 e4 v0 E& y& E8 K8 H0 i# Y4 {
3 C5 f. M7 P0 d5 c/ c# u5 x' ` 3���、強行修改注冊表并劫持COOKIES:
6 |, \8 a i9 w; \: [/ C; W
& W3 }. k/ V, C+ a4 A5 ? 安裝新版Windows優(yōu)化大師后���,會在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符��,下同)����,同時,修改注冊表以下兩項: + S$ b; n, w# y J+ v
2 h& M6 B9 t, h/ Y HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
: E' V4 W5 b9 w& g
$ f! O$ w# @9 Y8 V* W& J HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
1 b1 G6 E' R, o" R+ S2 }( k
+ C+ Y5 R* d; {* @ 為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat # l l U& n7 Z1 `
; S2 |: S- o2 Z% { 此項內(nèi)容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網(wǎng)站的行徑����,掩飾那些不停生成、快速增長的cookies文件�,而強行將用戶COOKIES劫持到新生成的Software文件夾,只不過�����,因為技術人員的一時馬虎�,忘了將最外層的Software文件夾也加上“隱藏”屬性,才暴露無遺……
7 L" O9 e. ~" W- j+ H3 M
" }' I* p6 g9 B' {' R2 y- a 4���、APIHOOK:
9 \- b `& R F6 k/ E5 f1 T/ M7 Y8 B) a& `, a; o0 r6 j& C( c
安裝新版優(yōu)化大師后�,會將系統(tǒng)入口點FindFirstFileExW掛鉤至0xB8ED3A26模塊。 " Z5 k7 @& K6 a2 p* O* a) |
& k: @6 K! |4 G: ^ 此項為網(wǎng)友反饋��,因筆者水平有限�,對此不甚了解,搜索網(wǎng)絡也未見有相關模塊信息���,還希望有技術高手繼續(xù)研究分析出其實質(zhì)��。 + I* n+ z6 C6 y" b9 H
* ?1 T. e, ^6 }( Q1 t/ a; R8 U) h
至此�����,真相大白…… ) q5 l8 z2 L- X8 S: S
; ?1 t' |# A2 y, q1 W b
我們再來復習一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下�����,在用戶計算機或其他終端上安裝運行���,侵犯用戶合法權益的軟件,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計算機病毒除外��。其具有如下特點:強制安裝、難以卸載����、瀏覽器劫持、廣告彈出���、惡意收集用戶信息、惡意卸載���、惡意捆綁等����。 . Y# B" `) J" g% O
+ ^2 f! ~/ D$ g/ R ~* F$ O1 v% X% a' j
由此定義�,對比新版優(yōu)化大師的行徑,相信大家自會有所明斷�����。 / V* C+ Z" D0 j2 A
5 P) D% V) _9 a2 s+ J$ m3 X+ W. a9 `, } 在CNBETA發(fā)文之后�,優(yōu)化大師官方迅速推出了V7.93.9.305版本,將游戲大廳修改為安裝可選項���,但據(jù)網(wǎng)友反饋����,其篡改搜索引擎的行徑卻依舊故我,其它幾項暫未做檢測����,故不加評論。
1 {$ `1 P9 o1 ~, Y. c5 o9 G/ G3 R* A3 p% w
因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復被篡改的系統(tǒng)����,故在此提出簡單修復解決辦法,僅供參考
, Z4 y! B" M# M8 a% C9 M: ^7 l* m1 p( y3 _9 s/ V( @4 X
當然了�����,修復的前提是先卸載掉此版本優(yōu)化大師~~
, _1 h) E, O! S, Z. p! h
# `) J1 Y8 n1 T 針對前文所述4項內(nèi)容��,進行以下修復:
" S+ h. t6 ^% ` R5 J/ A
5 x8 U W- H6 V6 b( M1 _/ \ 第1項可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式��; 9 ]3 l8 D: N, T0 W" M& ]
/ t r" N3 a8 Z, n6 z0 b$ F 第2項可在卸載優(yōu)化大師后����,在IE的INTERNET選項中自行修改(WIN7系統(tǒng)最好同時勾選“阻止程序建議對默認搜索提供程序進行的更改”),之后手動清理注冊表以上所列項目���;
& e3 Z* t, g$ \, M. g g0 h9 L8 E: c
第3項需修復注冊表以下兩項:
# s( O* y# o+ E/ }: }! F5 i, }+ p' W. {) R4 B" |* Y$ l7 [/ Q; g
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies ; X9 `4 R s: S& Y5 K7 Z5 w4 s( h
" f) @8 p: l) s! Z/ y6 K, t; V+ o HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 3 L- Q% j7 [9 c! y3 w' q
: v6 H7 j' G9 q% O" d: H( a VISTA���、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
4 H9 K0 D* u5 X; O5 d1 D: t& j6 p& c+ G# a3 [7 Y
XP下將兩項分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies 5 L" t6 [5 _ j8 r+ G2 k
" v7 [" v5 ^( n! H: k7 i 重啟電腦后刪除所有盤符要目錄下的Software文件夾�����; . M% M1 P+ ^6 P0 J) K
4 u5 N3 v" v3 ]* E# e6 ]3 P n
第4項因筆者水平有限�����,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
