自優(yōu)化大師推出V7.93.9.303版本以后���,不少安裝此版本的用戶隨即發(fā)現(xiàn)��,自己的電腦中多了一些不明文件及程序���,并且搜索引擎被強(qiáng)行篡改,隨即紛紛到優(yōu)化大師官方論壇提出問題��、尋求解答�。但眾多用戶的反映卻未收到官方任何回應(yīng),反而被一一刪帖���。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文���,引起各方關(guān)注�����,官方才匆匆發(fā)出一個(gè)公告�����,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序����,對網(wǎng)友反應(yīng)的其它問題卻只字未提���。 2 F. }8 |) h" i+ Y
9 c7 i* ^; M4 o o2 i: L) m7 S4 `2 F 做為多年的優(yōu)化大師使用者�,筆者也是第一時(shí)間趕到官方論壇�,本著對優(yōu)化大師多年良好聲譽(yù)的信任,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法���,然而�����,卻遭受到了刪貼�����、封IP����、鎖ID的待遇�。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應(yīng),不禁令筆者疑竇叢生���,于是對此版本軟件進(jìn)行了詳盡測試�,并參考一些網(wǎng)友的反饋�����,得出結(jié)果令人大跌眼鏡��。下面我們就來看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進(jìn)行“優(yōu)化”的:
% e) K, L- T8 u% D N; E6 _
9 K l: O% h# W7 O. o 1���、強(qiáng)制安裝GAMEHALL游戲大廳: ( d- C( [! Y( I0 p* Q& |
/ N l/ q% s* Q& h- g0 ]
默認(rèn)安裝在C:\ProgramFiles\GAMEHALL��,并在開始菜單添加快捷方式�。 3 ]& z @/ A" m2 p) L7 |( v; }
4 o( D6 D' C2 q* x" R. n
2�����、強(qiáng)制添加并篡改IE搜索引擎:
: j; W4 r# f+ w4 A5 b- F
' g6 I3 l# X7 o0 M) ~- H+ f6 C 安裝新版Windows優(yōu)化大師后,即使不選擇任何設(shè)置�,系統(tǒng)注冊表會(huì)被修改,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評測): - S. L2 c! W" O9 q
8 y/ Q" d3 E) q/ T" Q1 v! `
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search]
, |; |5 \7 n, g$ c" h3 q8 v% r# q. E" b" {
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg"
& b+ _/ H9 k, b/ G4 B1 u4 N1 n0 O6 d
9 ^* e; ~ a6 y) c6 P" W8 d "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" * t# v% r: F) r# @$ {
2 K& N6 p& n2 s0 P [HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
; q( ^5 Y& K) U& Y0 {& s) U5 V* e
. \. {8 {6 E5 S) R+ B3 B "Masters"="0F0F0F0F" . }; m) E% e' n$ \& a2 o
" D6 @5 f6 u: l
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" ) b# l! L" }! ]( X0 U) q2 S, h% h
% o0 f% A# T$ {- Z \* C: M4 g
"WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe" 5 t$ u5 C( A m" c7 w# n9 L x
0 K0 T& H4 H$ [# @4 ?
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
" j7 o# A9 `- ~9 O; [+ k& h9 t( n8 {* {/ w
"DefaultScope"="Baidu" ( h8 r% S% ^4 _# }. E6 g
8 v8 V8 b+ \* C
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
. n0 s6 ?% a/ H. x
9 g% n f* K7 @7 i9 i& _1 Q: u "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 1 I6 e% w# X Y4 Q$ T
: \1 ]6 a# L. g# S7 z9 y" j$ L
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] - l: {# |3 F" D- s1 B) \3 K: V6 t
# u$ v' j. \/ w5 U% _( _ "Codepage"=dword:0000FDE9 3 \, g3 B- N0 i1 Q1 j
! m: w- ~+ M8 U0 V& g$ q
"DisplayName"="百度搜索"
( B1 R- T5 l6 T" a- Z2 J! b- a1 B3 P5 D/ L
"SortIndex"=dword:FFFFFFFD 7 C+ U6 i# E/ p
8 Z% @! q- }* l! U
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
/ Q7 k0 w+ v! g
; V8 q6 Z6 ]$ ?- V9 [. t [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google]
: D( o! @) N% t7 Y
! z) a) ]" o5 G "Codepage"=dword:000003A8 r, V5 U1 c0 F! g! c
/ f5 G7 T4 m) M/ E "DisplayName"="谷歌搜索" 3 z4 w" c5 w- n- n
( b6 Q! W8 B1 U/ p4 x" Q
"SortIndex"=dword:FFFFFFFE
7 _) w0 D* x' z* c; T4 z8 ?' ~2 B9 A) L8 K* Z. {3 V6 m6 K- P0 {
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
' r1 h& H$ E3 o) ~- R
4 l% c* c6 J# B) I4 o! U% ` [HKEY_CURRENT_USER\Software\Microsoft\Windows] * Z: L- V5 o# Y0 Z
2 \4 D) R* c. B' y! j "Verion"="0013E86C8919" ' v. l; i; o/ Y1 A" g
2 ]+ \4 j/ A* F! A6 _ [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections]
- F- f5 U# k, J7 m5 f0 V3 q! R* ]4 _ r
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ 8 L6 s3 n8 X( o
2 x6 m. j+ P+ w: b7 R9 o
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
. a4 ~" V6 `" @* o6 o
0 D: ]' k% P5 m5 E' d 01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 7 y* A! Y/ e6 O5 t) b0 f0 d) t
- Y; v+ v+ R8 |1 A/ [3 \7 w& u# N
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] , p- U, g6 |' e) l
8 [8 u0 E9 M# N% o
"1803"=dword:00000001
' U+ |" B* j! i- k/ ~* e5 ?5 A
[" l2 t1 } R( g1 z 同時(shí)中途可能會(huì)連接以下不明網(wǎng)址:
3 G: b W1 q2 N" U8 P; I% j1 z5 s4 S3 a% g5 R: q Z
www.930930.com ( C& h' Z2 g- N- T+ r
0 v+ Z/ R3 S& N* v) w www.304304.com
$ p6 w& a' I) d% _& F6 e+ _ A% e- r) Y( v/ ?
www.072072.com 6 C) y3 u: Q! j/ N% r
9 d3 I( W$ T* |6 \0 D# Y5 Z/ F
072072.com - W% h7 J3 p- D- }1 w- ?
4 L7 a0 D$ }' O: O5 x
www.146146.com
6 j$ ?6 i e. J* I& Z: ~6 U7 Q" d* w7 f2 M5 H, P( W
146146.com
8 W! G2 j# F* [ d$ ^+ r/ q* ] t: M+ a D
397397.com
# y$ t' F6 T2 E- j; m/ t" o; F
A' S) ]- t$ j" m { 265.com / R4 ^4 A2 t& ^/ V. R* Z
4 z, w$ `: i, I7 T2 l) q liveupdate.baidu101.com " \- n. R0 J' Z/ W9 O* \' O
- {3 j6 c4 [/ f' B4 t. N& D+ S% ^ 3�����、強(qiáng)行修改注冊表并劫持COOKIES:
0 Z4 o: b+ T! j4 X
' I$ w s& n2 w. @3 e" Z6 V& B. k' z 安裝新版Windows優(yōu)化大師后�,會(huì)在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符��,下同)�,同時(shí),修改注冊表以下兩項(xiàng): - x0 Q, s; C/ f/ L( E2 X! N
* u. l- _0 N2 Z HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
/ v7 U a5 b6 X n( ?# c8 W7 ~; z" p! L, _( v3 c% \9 n
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
3 w( O9 V" k8 i( h& y7 L, Q
) K: o& @% N9 {; }. T" U! G 為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat ' h6 Z0 O* q! L) b, O
( _: ~1 Z+ c, G9 w, T! z+ M
此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺(tái)偷偷鏈接某些不明網(wǎng)站的行徑��,掩飾那些不停生成�、快速增長的cookies文件,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾�,只不過,因?yàn)榧夹g(shù)人員的一時(shí)馬虎��,忘了將最外層的Software文件夾也加上“隱藏”屬性��,才暴露無遺…… / A# w& _6 x- x3 F; c$ }
0 ~1 J+ _7 i" m# c, i, z
4��、APIHOOK: / L/ B3 A. }+ v6 w: W/ v
5 B+ ^2 d/ P/ s! E4 v$ k/ Q. h
安裝新版優(yōu)化大師后,會(huì)將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊���。 . ?) o/ V! C/ Q
+ m% l' G2 O$ U) ~) m8 }; Y 此項(xiàng)為網(wǎng)友反饋���,因筆者水平有限,對此不甚了解�����,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息�,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)��。 0 h4 @+ K: r: M
7 W2 }/ z$ e+ U6 |7 H/ `* D$ q 至此����,真相大白…… 1 G$ ~! Y) o. |( Z% `3 b% R
6 t+ w3 T( M5 u8 b0 u
我們再來復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行��,侵犯用戶合法權(quán)益的軟件���,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外�。其具有如下特點(diǎn):強(qiáng)制安裝�����、難以卸載、瀏覽器劫持��、廣告彈出����、惡意收集用戶信息、惡意卸載��、惡意捆綁等��。 ! \5 j- A7 ]" K4 k- j( ]
6 E# c5 L3 }$ K4 d6 F9 m* m 由此定義��,對比新版優(yōu)化大師的行徑��,相信大家自會(huì)有所明斷��。 / p) F* b1 r) l8 U! c
8 r) ~$ m! t/ N: N
在CNBETA發(fā)文之后�,優(yōu)化大師官方迅速推出了V7.93.9.305版本,將游戲大廳修改為安裝可選項(xiàng)�����,但據(jù)網(wǎng)友反饋��,其篡改搜索引擎的行徑卻依舊故我,其它幾項(xiàng)暫未做檢測��,故不加評論�。 3 x8 H. y+ r& A8 ]: g2 G) u: t
" Q! B3 ]' _* X3 ^" H6 k 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng),故在此提出簡單修復(fù)解決辦法�,僅供參考
3 @# R. |+ Z. g( K
' Z9 H- C+ ^+ h 當(dāng)然了,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~ : _5 V0 e' ?* w2 B, m. u
2 K! A0 S& W9 U' @: _6 \3 [6 D" a 針對前文所述4項(xiàng)內(nèi)容����,進(jìn)行以下修復(fù):
' U- J/ x. t1 A8 T( Z; }4 e" [$ v/ ?$ [& R
第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式; ) S0 v* f: u; o' Z" ]! O
$ N/ Z4 Q4 O0 C( [ 第2項(xiàng)可在卸載優(yōu)化大師后���,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對默認(rèn)搜索提供程序進(jìn)行的更改”)���,之后手動(dòng)清理注冊表以上所列項(xiàng)目����;
/ F$ B# _) n- `5 r- x* z# ]6 D
1 d( u) t6 X2 p) i+ a f 第3項(xiàng)需修復(fù)注冊表以下兩項(xiàng):
4 \( Z, `+ R6 e0 B
( @# @& V, M ~8 r) t0 j HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies , T R6 _3 J; G6 G
5 h6 I1 C# a+ N- N# f2 \2 D HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 0 N. j3 b4 b$ v5 g7 v
' e' m1 f2 J1 F% I# o VISTA、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies ' u4 V. {3 K. L1 L
' m6 h( A8 v+ Z" n- _ XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies
" _5 R9 L& h1 T' M6 W/ k5 B4 |0 S/ ~6 t$ @) y+ ]# p. N9 o( k0 T
重啟電腦后刪除所有盤符要目錄下的Software文件夾��;
3 D; e3 h8 g$ w& j' V: H& w$ B- E2 x) I6 S4 J
第4項(xiàng)因筆者水平有限���,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
