自優(yōu)化大師推出V7.93.9.303版本以后��,不少安裝此版本的用戶隨即發(fā)現(xiàn)�,自己的電腦中多了一些不明文件及程序,并且搜索引擎被強(qiáng)行篡改�����,隨即紛紛到優(yōu)化大師官方論壇提出問題���、尋求解答���。但眾多用戶的反映卻未收到官方任何回應(yīng),反而被一一刪帖�����。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文���,引起各方關(guān)注�,官方才匆匆發(fā)出一個(gè)公告���,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序����,對網(wǎng)友反應(yīng)的其它問題卻只字未提。
Q& [9 X. D; x% I# _. [- I6 T
+ [& F0 L E) T: N 做為多年的優(yōu)化大師使用者�����,筆者也是第一時(shí)間趕到官方論壇��,本著對優(yōu)化大師多年良好聲譽(yù)的信任�����,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法���,然而,卻遭受到了刪貼����、封IP、鎖ID的待遇��。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應(yīng)�,不禁令筆者疑竇叢生,于是對此版本軟件進(jìn)行了詳盡測試�����,并參考一些網(wǎng)友的反饋,得出結(jié)果令人大跌眼鏡�����。下面我們就來看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進(jìn)行“優(yōu)化”的:
$ `8 G- Q# g% N" A( e$ A* \2 h# D0 |8 m. ]5 Q' T" [
1�、強(qiáng)制安裝GAMEHALL游戲大廳:
% j0 L E+ H- l1 V* v+ |7 J" ]9 U+ P7 N* Z% \; M+ |& w5 b
默認(rèn)安裝在C:\ProgramFiles\GAMEHALL,并在開始菜單添加快捷方式��。
4 ^ Y4 n9 } d: H v1 R8 r+ V/ ~. b+ p* f7 h% W9 C
2���、強(qiáng)制添加并篡改IE搜索引擎: : F# x% m3 J0 T7 p( _
% {0 K. ~- ~2 b( _/ X 安裝新版Windows優(yōu)化大師后����,即使不選擇任何設(shè)置�,系統(tǒng)注冊表會(huì)被修改,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評測): 9 Q7 B3 s$ t6 s6 m8 s/ C
- p* s7 \- ~# C( j4 b1 _ [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search]
3 l( D/ T5 u: `& \; I: u6 B
6 @/ j6 z' l- n" X/ m. o/ B' r "CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg"
& z/ b2 U6 j Y/ C* u; f
" p% M% J: m0 x "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
$ I% N: d- f3 n, c4 ]
9 S, W4 T. ?1 F, @ [HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
9 `$ r- w$ v) y7 H5 ~: r
S+ F! P/ D2 V4 h3 { "Masters"="0F0F0F0F" 8 Y: P2 ]' A+ O( z& r) n+ V3 t
/ v3 [3 [$ w5 ` "WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll"
7 j; B; C/ A/ P/ ^( a7 c' g) @% [8 B! ?% N; [
"WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
7 T U$ V+ e$ t7 {0 s. U
1 L( w( V0 x* g2 X/ i, h [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes] & H! p/ s2 A$ u1 B' O/ w8 [. L6 D
a; N8 Y" n- b* e. J
"DefaultScope"="Baidu" 1 K" s- z% _+ J, B4 y
+ Q5 a+ A, ~( o9 C4 W
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
' @* Y/ K G; `; Q; }: ]
T6 r# i* Z: b A5 v "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
6 K, b8 u3 R1 ?6 U. T
$ m8 }- p5 x0 f7 T k [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] 5 G. ^" ^) U* ^0 G; D9 c
3 Z K! M0 R$ h2 c! D* a
"Codepage"=dword:0000FDE9
2 s @+ D ?, O/ C, ?' g8 E
$ i# {$ E2 w6 L/ T$ |: U. y, c "DisplayName"="百度搜索"
( D7 ^2 H/ W4 ]. H
# k* I, o: K8 h4 R "SortIndex"=dword:FFFFFFFD ) y* c( ?; f- f, \6 {. A
' R( P" a% Q& l* r. t, m
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" " c e9 K9 P+ q7 G4 R9 w! F8 t
8 R* G, |, K! v2 N [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google]
% p) q+ ^% g$ v$ S8 S4 o/ s2 e# o" w+ n) ?
"Codepage"=dword:000003A8 % s1 O4 V0 _. o9 b/ c: |8 T
H) P0 o2 c% r+ b7 h8 { "DisplayName"="谷歌搜索"
# J: d7 m% q+ D& S/ @" f2 Q o
. b/ Q6 s! _6 N& ? "SortIndex"=dword:FFFFFFFE & V8 e! w2 G) o# K2 V, o# E3 F1 r
7 N( q9 S6 U: C# L "URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
' E( ^* c# j( h: v! J8 r! W! b
! [& x. W" I5 p/ G: b* | [HKEY_CURRENT_USER\Software\Microsoft\Windows] " O. ~$ F% O& j" R! A( Z1 ~- t) g
, R4 @# G# e/ Z. K/ _ M
"Verion"="0013E86C8919" W* u& {/ Y6 H; a
6 X2 g. J& D1 h$ E y1 ~: X [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections] 0 n; d4 ?8 j' K3 i
) J' Y4 e. w$ n" C1 l8 y4 u "SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ + f, x3 r0 f$ w( l! ]
) b; j% g! S& R; e
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
4 j5 X# R3 n: Y! v. d, L% w: m' o! r1 Y5 k" r9 S# T
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
' B; M) D( X) L# q
) q( h( c. A1 F' W [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] 8 K! F- P, ?* L
* o. X( t+ y8 Q "1803"=dword:00000001 5 z3 C$ [* V1 h7 ?/ c" z5 j: K
( \" D: l2 Y, B9 g: e 同時(shí)中途可能會(huì)連接以下不明網(wǎng)址: ) v+ Z; f! [* f
. P! V& E2 R3 O. j* E* `, R- t www.930930.com
3 S+ R P# {! N) e& W8 o9 _8 Z( }) X. U5 g+ \$ t
www.304304.com ' w5 D# B, @7 w- D5 [ `* `
6 B# Z) v4 H5 ^! c2 ~) a
www.072072.com
, D; [. `7 v; p' z) ?9 W
# P; a9 C& {3 }: k, u 072072.com
: t& X! n2 P2 X- F) j0 F5 S$ ^2 x4 W# O y" m; U
www.146146.com
3 P: \7 [1 e- z) v( T* m/ _4 d ~! @: n8 y4 \% f9 f- c5 \
146146.com
5 o2 u, c: T- } O
/ D1 r- X% [4 d2 n$ Y 397397.com
9 E/ X7 {& A9 a; L P4 Z+ W% z5 `" ^( a7 Y5 f( c" q% ^! b+ Y. X
265.com * X. }+ Q3 V6 s# H6 N1 |
* l8 t, S; n0 F: Y" P7 J; W liveupdate.baidu101.com 5 c& n0 Z7 y% y' n% W
g) K7 u# |' p3 Q8 T2 G. U1 |
3��、強(qiáng)行修改注冊表并劫持COOKIES:
8 j; Y, ]8 C4 Y5 i0 M) [0 d+ i7 U$ n1 v& S% Q
安裝新版Windows優(yōu)化大師后�����,會(huì)在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software��,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符���,下同)��,同時(shí)�,修改注冊表以下兩項(xiàng):
! p V6 `. U8 e* |$ T6 c
2 b- r) `6 W" W z HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 6 v% }* G" J+ x! N" z9 d
' b- `" z9 R- F* y' o2 X
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 9 d: ]0 D$ J2 N3 J
5 X# U$ R0 z9 [* ^' A! _0 d
為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat 0 ~& ]2 r5 a( i0 b/ B! \
7 Y% p% N2 l6 M& |0 W& |
此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網(wǎng)站的行徑,掩飾那些不停生成�����、快速增長的cookies文件�,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾,只不過����,因?yàn)榧夹g(shù)人員的一時(shí)馬虎�,忘了將最外層的Software文件夾也加上“隱藏”屬性,才暴露無遺…… 3 }' D5 l5 K l( S+ r7 [- e
$ Z! I, s0 p% }3 Q6 A
4�、APIHOOK:
% W n0 u% X8 z$ G7 ^1 J- Q1 Q. m: U5 `- X# c7 J/ j) I6 L# t
安裝新版優(yōu)化大師后,會(huì)將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊�。
1 h4 t9 j6 e5 {1 }% g. M# ?7 o5 x* a7 w2 I# u5 h5 m+ u! O& K
此項(xiàng)為網(wǎng)友反饋,因筆者水平有限�,對此不甚了解,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息��,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)�。
( S7 s7 U1 f2 k& {! y' K' Z; J3 W
至此����,真相大白……
# d b/ o5 e/ r# u
1 J. h, q$ c9 ` 我們再來復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下�����,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行���,侵犯用戶合法權(quán)益的軟件�,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外����。其具有如下特點(diǎn):強(qiáng)制安裝、難以卸載���、瀏覽器劫持���、廣告彈出、惡意收集用戶信息��、惡意卸載�、惡意捆綁等。 $ {% `- g7 f+ j2 T& r( Q, P
. r1 z- {7 @: {- T/ z
由此定義,對比新版優(yōu)化大師的行徑���,相信大家自會(huì)有所明斷��。 , b( X9 O' W+ @" H2 x2 Z
; ~& Z- b/ Z( V: C5 p
在CNBETA發(fā)文之后���,優(yōu)化大師官方迅速推出了V7.93.9.305版本,將游戲大廳修改為安裝可選項(xiàng)�,但據(jù)網(wǎng)友反饋,其篡改搜索引擎的行徑卻依舊故我��,其它幾項(xiàng)暫未做檢測��,故不加評論���。 4 [$ E! Q: u" k( v, z" {
$ O% x" V% a6 K( h( k4 I 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng)����,故在此提出簡單修復(fù)解決辦法�����,僅供參考
* b9 U, F# V% k2 \
2 d. i: n8 p% u# t6 o/ Q 當(dāng)然了�����,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~ , g7 h+ M/ Y% ^0 r' @4 e8 W! }0 H, E" _
! s' p$ X2 C0 `7 F& ?
針對前文所述4項(xiàng)內(nèi)容�,進(jìn)行以下修復(fù): % H1 h; L, `8 l& Y' u
# G( q6 V& l8 }$ R% N. {! i. ^: E; y 第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式; . u9 q; r3 h' g: A/ U( K( j
, N* P. c, y! B$ c9 R1 k 第2項(xiàng)可在卸載優(yōu)化大師后�����,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對默認(rèn)搜索提供程序進(jìn)行的更改”)�����,之后手動(dòng)清理注冊表以上所列項(xiàng)目�; . b/ @7 H) [, C! L2 M
) A9 X3 r) m3 \8 t' i6 Y# u+ B 第3項(xiàng)需修復(fù)注冊表以下兩項(xiàng): : B) }; X z2 x8 [1 ]
5 u7 y% _9 t! w) B! Q HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 5 a; d4 I% G; ?- v, r! ^# d
1 A) Y4 q3 l- `3 y% Y6 K
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
" k( u* i1 m2 A& T2 D0 u/ i4 S& U3 g& J
VISTA、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
8 j8 _% s& L6 E! P1 ~! R N6 B) R; c6 R# O& l' ?. L
XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies
% |; Y( M; A. s- }( |! {% B+ L
& @/ P+ }; L) M 重啟電腦后刪除所有盤符要目錄下的Software文件夾�����;
9 [9 V2 D. n/ A4 u9 f' t9 [9 Q$ a' t
第4項(xiàng)因筆者水平有限�����,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
