自優(yōu)化大師推出V7.93.9.303版本以后��,不少安裝此版本的用戶隨即發(fā)現(xiàn)���,自己的電腦中多了一些不明文件及程序�����,并且搜索引擎被強(qiáng)行篡改����,隨即紛紛到優(yōu)化大師官方論壇提出問(wèn)題���、尋求解答����。但眾多用戶的反映卻未收到官方任何回應(yīng)�����,反而被一一刪帖�����。直到有氣憤不過(guò)的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文,引起各方關(guān)注���,官方才匆匆發(fā)出一個(gè)公告��,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序��,對(duì)網(wǎng)友反應(yīng)的其它問(wèn)題卻只字未提�����。 % ^4 c: i$ _5 o. g. z
) J; B$ n% d! w/ Q
做為多年的優(yōu)化大師使用者���,筆者也是第一時(shí)間趕到官方論壇,本著對(duì)優(yōu)化大師多年良好聲譽(yù)的信任����,積極提出問(wèn)題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法,然而��,卻遭受到了刪貼����、封IP、鎖ID的待遇。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對(duì)待用戶的意見反應(yīng)�����,不禁令筆者疑竇叢生��,于是對(duì)此版本軟件進(jìn)行了詳盡測(cè)試���,并參考一些網(wǎng)友的反饋,得出結(jié)果令人大跌眼鏡���。下面我們就來(lái)看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對(duì)用戶電腦進(jìn)行“優(yōu)化”的:
# y7 o: s7 l# f r, u. ]( v+ M! ?$ p
1����、強(qiáng)制安裝GAMEHALL游戲大廳:
+ @4 m, A' v0 Q5 c7 A; Z1 S( x! M; c4 H* ~
默認(rèn)安裝在C:\ProgramFiles\GAMEHALL��,并在開始菜單添加快捷方式����。
7 E" \/ l) Y+ R) {- l8 F, f" ?3 w1 G! j
2、強(qiáng)制添加并篡改IE搜索引擎: / z7 v0 {# r$ n( \6 c. U
+ p( m4 @9 x+ S) w
安裝新版Windows優(yōu)化大師后�����,即使不選擇任何設(shè)置,系統(tǒng)注冊(cè)表會(huì)被修改��,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評(píng)測(cè)): ' x; C' g3 w% l$ F) F7 o* |
. Z$ J- O J0 w2 g9 s. a [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search] 7 P. E: B' \9 f/ @
) S- U2 M. j: z& [ "CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg"
# H# x5 D3 N- f: ~' Q% M8 }; b# q: y4 i9 n' v9 \
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" ) S, C" J' }" }4 v4 A' `% y% [, Q
; ^, M! m8 N# ^: D9 g2 z# C- w: a [HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
! R) ~2 N" [8 x* B) V# v
o; r: S* I7 K. w "Masters"="0F0F0F0F" 9 K7 a' q9 \1 ~
& G; H6 K5 V* h* v
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" ( ]" j6 J0 K' p. j4 M9 w( \9 j% H7 u; @6 s
) f9 t( U% i0 w+ N "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
8 q; S/ ?5 @2 ?3 x: |
' [% k6 z Z; ^! D( Y [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
' w) f+ ~) l; C' W4 `" Q& c
, O$ [! g# _. Z* E6 l "DefaultScope"="Baidu"
" o9 i+ z# c3 K9 O0 T* l$ i. b/ k' X# C1 O
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}] ) I6 d. x% |. N( F2 X I
l2 L; g/ f: |& r& {; P
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 7 E! U9 V# y" g: B5 @& h( H% M2 s9 b2 w
0 G& \, {1 E- d! C3 M% Z [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu]
' S6 K# M. k# b3 {* u X
. C2 n$ W0 A c/ _" o( G0 V( G8 g "Codepage"=dword:0000FDE9
1 ^. Y3 d7 a2 i" {8 U
& I5 T4 `& n: ]/ x "DisplayName"="百度搜索"
% b8 Y9 E7 o' Y/ z" C/ b, w: z# s* U. i% Y m+ {' w
"SortIndex"=dword:FFFFFFFD * M r: V& h4 a! \4 i0 @: B3 q
) b' ~+ Q1 l/ Y+ R2 x
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" # G; L: m0 T. u) b" N6 ^
9 @' s7 {2 u9 P$ a8 p9 N [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] # J4 A$ K! l( Z& y! H/ J
7 [$ O5 |+ V1 l( Y) D. R3 t6 \% T$ k "Codepage"=dword:000003A8 6 J) P2 b2 d- Y# T5 c/ C! b
. q& y3 p) A- t! R3 K9 t5 m "DisplayName"="谷歌搜索" 8 B1 R& z: e0 W" d" ]( a
# Z, o) N, @& d! b0 H) A# w' J "SortIndex"=dword:FFFFFFFE
/ c0 N/ f2 G- \6 S# K3 D- ^: t2 n3 z P/ f
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=" / Y- e4 b0 c; v4 s) C
* _9 n, k0 H7 c: r5 k# c [HKEY_CURRENT_USER\Software\Microsoft\Windows] 4 i$ d( C5 H1 g8 Z0 L& C7 Z8 J
3 o7 [# d% s( H. L9 y "Verion"="0013E86C8919" ! @) ?' [1 @* ~# A1 \
. H% [3 B5 q* _! v$ W# [* m
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections] 3 B. @* ^+ L# ?& q
4 V0 T' Y# S3 Z0 b
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
" m; z% q9 r) U2 i* u3 e
6 ?8 ~: J3 T, s+ ~5 F7 J0 w. B. m 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
# ?" I2 i2 o6 H0 E9 c3 c6 J8 F5 V' \9 u6 d* |1 U+ J& s! L
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 9 N+ d. ^! ]3 ~4 B
* Q3 L- m" _! R' M. a/ z- I- _
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3]
% u+ x$ g' g, D! q0 n$ `; l* R0 @# M8 X0 V @
"1803"=dword:00000001 i" f3 G/ G0 K0 Z2 s' _4 G, L
3 t4 B$ a$ s# y: [( x" i
同時(shí)中途可能會(huì)連接以下不明網(wǎng)址: 6 A) S) K; e. G
5 z* S9 H5 z, z# J, H' J k* E0 Z; [
www.930930.com & h" @4 g+ Q) N& B4 E
% n# ]+ S" h( a- i www.304304.com
8 r$ ~8 |, \) p( `6 N# w `; h% P5 @1 V% n, m6 `
www.072072.com
* {7 t2 G# L( {1 ^" r$ F: t; Z5 _+ q# d" _, O* E0 W
072072.com 9 d; S( c0 L& O' F2 |; N) W
$ u4 G5 Y0 X- A1 u. f
www.146146.com
* a- ]4 H7 ?% U0 [ U" Y8 G7 ^& L( F" G
146146.com * A! d- M" R" H. i
1 @9 {& h4 Q+ w 397397.com
- A" l2 f$ `' [( x" N0 R: M0 [) m1 {5 ]
265.com
/ A4 Y6 F3 ~& {3 c* C2 \7 r X
+ n# _2 w) b/ m6 \6 D0 h* P liveupdate.baidu101.com
, A1 n2 L. t; g- H8 f
$ l0 H& U0 u' G' w2 Y: k 3�����、強(qiáng)行修改注冊(cè)表并劫持COOKIES:
7 H6 q; }7 G$ b1 a* @: @ f- g8 M0 ]( B; v" A+ B5 E" t9 U5 A
安裝新版Windows優(yōu)化大師后��,會(huì)在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無(wú)法刪除的文件夾Software��,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符�����,下同)��,同時(shí)����,修改注冊(cè)表以下兩項(xiàng):
; `8 A: T/ s% }5 n4 T; f
' h$ t* b I7 j" s/ X% C: ~, j HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
7 F0 S! |+ \ A/ y2 [
$ ]) L5 ]0 I8 Y0 V r+ m HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
( N% k4 k, j) D) s1 {+ m1 y% P6 e& y$ A8 n9 z3 J, h; S3 E
為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat
; V$ [! K3 W% L7 W2 {+ t. W6 H- J7 ^( N# a; x, t: k
此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺(tái)偷偷鏈接某些不明網(wǎng)站的行徑,掩飾那些不停生成���、快速增長(zhǎng)的cookies文件�,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾�,只不過(guò)����,因?yàn)榧夹g(shù)人員的一時(shí)馬虎�����,忘了將最外層的Software文件夾也加上“隱藏”屬性�����,才暴露無(wú)遺…… 0 y6 v0 w1 W8 s
8 w. o9 E( T! {3 ^ p; W
4�����、APIHOOK:
& p8 a' B, l# o5 [0 Z* h) i$ F" y! S$ O7 X9 L3 }/ [7 V! {
安裝新版優(yōu)化大師后�,會(huì)將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊�。 & A9 J7 k, y1 y3 A; v
+ l" w/ c y5 Z9 f: P9 @$ r
此項(xiàng)為網(wǎng)友反饋,因筆者水平有限����,對(duì)此不甚了解,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息�����,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)。 2 g) Q0 H+ Z; b& A7 x
, w6 x, H$ N8 S) H0 R 至此�����,真相大白…… 3 o+ f2 ]5 d: D- {3 W9 v( z% B: A
& p9 w+ q% A- n- k+ V
我們?cè)賮?lái)復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下�����,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行�,侵犯用戶合法權(quán)益的軟件,但已被我國(guó)現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外�。其具有如下特點(diǎn):強(qiáng)制安裝、難以卸載�����、瀏覽器劫持�����、廣告彈出����、惡意收集用戶信息、惡意卸載�、惡意捆綁等�。 * @( J4 m) ?: l* u
9 v: W O# a6 F8 ^6 E+ g
由此定義��,對(duì)比新版優(yōu)化大師的行徑�,相信大家自會(huì)有所明斷。
3 o1 ^9 w1 S9 \5 p( u* w0 }! O) ?* m. {$ D. e
在CNBETA發(fā)文之后���,優(yōu)化大師官方迅速推出了V7.93.9.305版本�,將游戲大廳修改為安裝可選項(xiàng)�,但據(jù)網(wǎng)友反饋,其篡改搜索引擎的行徑卻依舊故我�����,其它幾項(xiàng)暫未做檢測(cè)�,故不加評(píng)論�。
8 A+ Y/ w0 O* B& a2 a% ]+ x9 b- D% b2 `" e
因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng),故在此提出簡(jiǎn)單修復(fù)解決辦法��,僅供參考 % A) A( e4 {% A$ U; c: P9 V
8 v! _( M0 w( P! \
當(dāng)然了�,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~
3 s* `! G9 o7 i2 e) T5 X+ G4 l* D5 i+ V2 O5 I u
針對(duì)前文所述4項(xiàng)內(nèi)容,進(jìn)行以下修復(fù):
& ?8 f' g3 I9 i, S0 \
8 o$ |3 L1 Y" G; [% ? 第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式���;
& Q) s v( P) q+ b) P; y% i
- q) l/ @& J$ U8 |6 Y# y3 ^ E 第2項(xiàng)可在卸載優(yōu)化大師后���,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對(duì)默認(rèn)搜索提供程序進(jìn)行的更改”)���,之后手動(dòng)清理注冊(cè)表以上所列項(xiàng)目; " T6 }* D' o& y" X
1 s: q. r% \' ^) {! @& Q" X 第3項(xiàng)需修復(fù)注冊(cè)表以下兩項(xiàng): 5 F9 P( o) @; o( G. Y9 [
8 z+ }6 }) y# D HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 9 W. C6 k! k$ U, i4 v
: R7 W& o5 U1 _' D# k5 F HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 8 F3 H9 [8 b' P3 H) Y5 C: o
& }; }4 ]) {6 |5 ` i VISTA���、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies + A8 z B& n1 M! `( m, \
/ |* J f: f. [6 a# t$ {
XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies
( m8 ~; i9 k. ]8 }- M1 q7 T j) x+ c$ k, z/ F* Z9 o
重啟電腦后刪除所有盤符要目錄下的Software文件夾��; 0 T0 A8 J2 R0 Q0 w$ X) j
$ X# z$ N0 x; k6 N 第4項(xiàng)因筆者水平有限���,暫無(wú)解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
