自優(yōu)化大師推出V7.93.9.303版本以后,不少安裝此版本的用戶隨即發(fā)現(xiàn)����,自己的電腦中多了一些不明文件及程序,并且搜索引擎被強(qiáng)行篡改��,隨即紛紛到優(yōu)化大師官方論壇提出問(wèn)題�、尋求解答。但眾多用戶的反映卻未收到官方任何回應(yīng)���,反而被一一刪帖��。直到有氣憤不過(guò)的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文��,引起各方關(guān)注���,官方才匆匆發(fā)出一個(gè)公告,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序�,對(duì)網(wǎng)友反應(yīng)的其它問(wèn)題卻只字未提。
- c% e! [2 S; y2 d2 q/ K/ c5 V6 R4 G0 R* @! L2 z0 H. R! T% a0 W
做為多年的優(yōu)化大師使用者���,筆者也是第一時(shí)間趕到官方論壇��,本著對(duì)優(yōu)化大師多年良好聲譽(yù)的信任�,積極提出問(wèn)題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法,然而����,卻遭受到了刪貼、封IP���、鎖ID的待遇�����。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對(duì)待用戶的意見反應(yīng)��,不禁令筆者疑竇叢生�����,于是對(duì)此版本軟件進(jìn)行了詳盡測(cè)試,并參考一些網(wǎng)友的反饋�����,得出結(jié)果令人大跌眼鏡��。下面我們就來(lái)看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對(duì)用戶電腦進(jìn)行“優(yōu)化”的: 6 V2 t# Y* {; o o
" ~7 Y3 k) T0 J" P 1�、強(qiáng)制安裝GAMEHALL游戲大廳:
6 ^6 ~% z/ s! s9 f0 P9 W6 W' `& H# F# t5 _/ s. j2 t% `
默認(rèn)安裝在C:\ProgramFiles\GAMEHALL�,并在開始菜單添加快捷方式�。 # p2 I* o* S3 _( t6 E; @
& U: O5 C; z) K8 x 2、強(qiáng)制添加并篡改IE搜索引擎: & M1 X5 o" Y/ Q3 p% c: P
7 K0 i) Y6 I# N/ n3 p
安裝新版Windows優(yōu)化大師后��,即使不選擇任何設(shè)置�,系統(tǒng)注冊(cè)表會(huì)被修改,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評(píng)測(cè)):
& \1 `" n2 T2 Z% B
- ^; z: n( t" n5 A- w# I- o2 K; x$ V [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search]
7 ?- [% h" v( }8 ^) u, J: C4 @ Q- j6 y! \
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" : ]: E% ] e) {$ R; J, n" l& g
8 B& o, F$ W1 r2 T0 G "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" 0 u5 M; R1 u+ S6 P
) F7 o; ~$ |7 k+ m0 [ [HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
8 q D/ O+ w8 q* C3 a9 ?
, ?- @" Z7 {- n( w! b+ C/ q "Masters"="0F0F0F0F" + x3 z& R% r6 u5 K0 M1 S# c: [
5 j/ ?7 R3 ^: y, ] "WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll"
6 k) A8 }* t3 z O3 r3 n$ i1 P) u
9 {5 |' W) b9 O" n2 L) E "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
4 k2 ~8 G8 w. g9 `8 O7 |) a
2 a4 d( T7 Y6 t [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes] . V7 b4 }3 r, p% |& H5 t; ] Y
4 z" Y2 B2 {. D( T5 p "DefaultScope"="Baidu"
: I$ \. E9 y) x8 ^3 y1 M; Y a N D$ z# y+ B9 X8 k) W, t
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
" s) t1 { [: N* b+ G
9 U( T" d1 H, t( A "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" ) R+ A& i/ s, O, V
( A4 B6 @2 O0 y! Y, p( H0 {0 @! U [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu]
/ q; y, [$ L0 c* j. B3 S/ A
5 u, I8 P1 I' ~; [) i "Codepage"=dword:0000FDE9
# |3 r; b/ u; D' b0 o/ w
4 X! {; x! j+ O, z' Y "DisplayName"="百度搜索"
( k3 a9 F) o: @
. d3 I& @& a4 ]6 G "SortIndex"=dword:FFFFFFFD 6 I- M* v3 m+ ^: q% Z4 j
( _3 s1 K$ {) _. s0 k7 Z, Y; M "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
+ ]" g, s& o: p5 Y. J3 O2 ?3 Y7 s8 x2 {9 x1 Y
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] 4 v; j, F! H6 _
0 R7 ~4 Y0 q6 q/ s "Codepage"=dword:000003A8 2 M5 g1 ?) U0 b3 s9 v
" c4 a. c) m. ^; V( B4 ^ "DisplayName"="谷歌搜索"
k+ ^" ^5 M$ N ]# d/ _5 S6 b/ v$ a0 a" t
"SortIndex"=dword:FFFFFFFE - b. M M+ a5 ~; r/ x+ g7 t
6 s: x8 t8 ~! }2 X
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
* N$ v0 e3 H; g' c: M& C
& L _( G+ a! u- C [HKEY_CURRENT_USER\Software\Microsoft\Windows]
& u$ R' C+ L7 l
5 U% \/ ~- h" b2 O) f& ] "Verion"="0013E86C8919" 2 y0 ~" |/ o& M F9 V: M
8 a' D* ^) O3 c$ A
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections]
8 f8 y9 F7 F0 j3 p' w, p2 i
5 S) i$ ]; C. P0 [ "SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ 8 A9 ~, S4 C3 f7 _9 s, N v
" x) k) n9 @* w& ^- l- @
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\ * L6 S: @& A% {6 S) i J
# h- l$ {% c9 A3 {% m/ y
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
2 _$ s/ F/ O1 D5 c/ u
9 J! z, {, h! n* o7 D( g p j [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] & R8 `% p' N% L b( r8 B; Z U/ y
: ~' d' E# }7 t9 y5 }' O. l "1803"=dword:00000001 & M( D6 P6 @6 k' }/ r% @
# e% w9 v# N; h+ T X" U
同時(shí)中途可能會(huì)連接以下不明網(wǎng)址: , U. i+ L4 n2 U/ R# n
& U: k& b2 H$ R0 o' m+ f7 N www.930930.com
% \0 L/ k4 N1 u! o! H# R( F! J0 W3 ~/ L. X: n5 C% s- a
www.304304.com # K; m8 Y4 |% B) m
3 F2 l2 q# C4 g- ?# ~3 p( U# w www.072072.com
7 t% ^4 @- G3 L# J& U6 F
# i% p; U E/ H# X7 ` 072072.com
: u: Y8 x. U, ~* q2 A ]6 [% _' P1 S
www.146146.com
8 k( {. D* I9 Z5 o" F* o2 j- N' H, S; b/ H) r
146146.com $ V) O/ u8 i5 [
! U5 ` N! l1 g% [8 v& } 397397.com
! `7 h; z4 v+ E! r5 x7 x
" B8 ?$ M% R& D9 d# I! Q. B 265.com
0 I5 e* Q8 r! ~ q" a/ H5 g9 V8 p+ J
" k1 `* P" X# z' n! S6 ]: ^4 l liveupdate.baidu101.com
0 V- x( ^4 {) S* I8 }8 @! g2 ?2 l" W# ?, y* Z
3����、強(qiáng)行修改注冊(cè)表并劫持COOKIES:
& D4 w, h4 @6 s- ^' L& P+ g2 A8 ]0 {' b6 z% J: a/ ]! M( a
安裝新版Windows優(yōu)化大師后,會(huì)在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無(wú)法刪除的文件夾Software�,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符,下同)�,同時(shí),修改注冊(cè)表以下兩項(xiàng):
3 R: l, a% [# I- O
3 `! j. ?# j& E HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
4 q& R$ Z' D0 A6 z. `' I( Q8 {# q
# o8 C1 P& s6 q# k5 } HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 7 B: E: v' _1 _% s8 M
. u8 M! f- `5 s8 Z: { 為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat
/ l6 w# k1 ^4 |% k" f6 M$ D2 d( z. S# d- Q" M. W& [
此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺(tái)偷偷鏈接某些不明網(wǎng)站的行徑����,掩飾那些不停生成、快速增長(zhǎng)的cookies文件���,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾�����,只不過(guò)����,因?yàn)榧夹g(shù)人員的一時(shí)馬虎,忘了將最外層的Software文件夾也加上“隱藏”屬性�,才暴露無(wú)遺……
* F5 Q6 O3 s% _1 @
& E* r; l4 x; J5 V3 Z# X) r 4、APIHOOK:
* R8 x8 i; f/ l/ [* H5 h# @' j( C3 S* f
安裝新版優(yōu)化大師后�,會(huì)將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊。 - ?9 i( ~ t o- y0 i: p
. W8 R+ e" |' r7 L% k/ C3 i
此項(xiàng)為網(wǎng)友反饋�����,因筆者水平有限��,對(duì)此不甚了解��,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息���,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)�。
, H4 [5 f4 _" [3 m' B
! A/ {$ E- ~: G( z8 n 至此���,真相大白……
0 \8 [/ ^, o# g/ f- A1 d0 R# O7 G6 }8 t5 M" B
我們?cè)賮?lái)復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行���,侵犯用戶合法權(quán)益的軟件�,但已被我國(guó)現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外。其具有如下特點(diǎn):強(qiáng)制安裝���、難以卸載�����、瀏覽器劫持���、廣告彈出、惡意收集用戶信息����、惡意卸載、惡意捆綁等�。 ' E) d8 M* F4 t. p
3 M7 q( y8 Q0 D 由此定義,對(duì)比新版優(yōu)化大師的行徑��,相信大家自會(huì)有所明斷��。
) f. u9 o4 I; S( Z4 M" n
9 ^. {3 b: ?% N$ i- {, n/ `" q) \ 在CNBETA發(fā)文之后����,優(yōu)化大師官方迅速推出了V7.93.9.305版本,將游戲大廳修改為安裝可選項(xiàng),但據(jù)網(wǎng)友反饋�����,其篡改搜索引擎的行徑卻依舊故我�,其它幾項(xiàng)暫未做檢測(cè),故不加評(píng)論�。
5 z( k- n: A- f+ T& l
0 A( T- y, X- G8 Z% V/ Y% l1 I 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng),故在此提出簡(jiǎn)單修復(fù)解決辦法�,僅供參考 0 n5 v" X& ^& e4 {% z$ h5 I
4 [. s& n8 S8 s2 v
當(dāng)然了,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~ # V; c9 B) B# ^$ M
$ v1 i: s7 r# U
針對(duì)前文所述4項(xiàng)內(nèi)容��,進(jìn)行以下修復(fù): 4 D" @3 r) f3 }6 D
, u4 S1 H: E" I 第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式�; 6 L6 S- l8 D5 ]/ e$ B7 ^
/ F5 f7 I& L7 R/ L+ S# p1 A; ~
第2項(xiàng)可在卸載優(yōu)化大師后,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對(duì)默認(rèn)搜索提供程序進(jìn)行的更改”)���,之后手動(dòng)清理注冊(cè)表以上所列項(xiàng)目��;
, y7 u1 h$ Y* s2 {5 @, X* W
6 `* P; I- [, P2 [0 E 第3項(xiàng)需修復(fù)注冊(cè)表以下兩項(xiàng):
5 m x- k& X$ p9 I1 ?# ?( q7 ~6 H) b: g1 U% p
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 8 @! |+ F9 |. i: f8 s
% S4 C# D5 d$ |$ Q% K' d+ B
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 2 ~+ ~( c0 _; D
3 ^! W5 O' T4 l; p* P VISTA�����、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
' Y, l3 j* t$ z
- X/ W- h3 h0 D) ] XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies ) {! r/ M: E. p X3 `( g
- Z- B7 j8 [. O4 C+ q
重啟電腦后刪除所有盤符要目錄下的Software文件夾�����;
0 j3 r! i; ~ G; N! n; P7 d* L$ \, ]* W) L0 h
第4項(xiàng)因筆者水平有限��,暫無(wú)解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
