自優(yōu)化大師推出V7.93.9.303版本以后��,不少安裝此版本的用戶隨即發(fā)現(xiàn)��,自己的電腦中多了一些不明文件及程序����,并且搜索引擎被強(qiáng)行篡改,隨即紛紛到優(yōu)化大師官方論壇提出問題�����、尋求解答����。但眾多用戶的反映卻未收到官方任何回應(yīng),反而被一一刪帖���。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文��,引起各方關(guān)注���,官方才匆匆發(fā)出一個(gè)公告,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序��,對(duì)網(wǎng)友反應(yīng)的其它問題卻只字未提����。 2 r) N% h p ?, S, m' l# ~, i
! n- j0 E& O& b: I" i
做為多年的優(yōu)化大師使用者,筆者也是第一時(shí)間趕到官方論壇�,本著對(duì)優(yōu)化大師多年良好聲譽(yù)的信任,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法�,然而����,卻遭受到了刪貼���、封IP��、鎖ID的待遇����。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對(duì)待用戶的意見反應(yīng)�,不禁令筆者疑竇叢生,于是對(duì)此版本軟件進(jìn)行了詳盡測(cè)試��,并參考一些網(wǎng)友的反饋�,得出結(jié)果令人大跌眼鏡。下面我們就來看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對(duì)用戶電腦進(jìn)行“優(yōu)化”的:
x, k7 ?4 [' g9 ]3 M; c, N5 ]9 {% t- S
1����、強(qiáng)制安裝GAMEHALL游戲大廳:
* |* T% g% z" g
( I! z- q( t7 n6 B 默認(rèn)安裝在C:\ProgramFiles\GAMEHALL,并在開始菜單添加快捷方式����。
) a2 b A/ E- ?; A/ \ u- l9 x, `0 n7 C0 Z* \$ T: p
2���、強(qiáng)制添加并篡改IE搜索引擎: + p# f! N* E' q7 Z
. Q; @+ e7 a8 R* w: ~) O" ^ 安裝新版Windows優(yōu)化大師后��,即使不選擇任何設(shè)置���,系統(tǒng)注冊(cè)表會(huì)被修改���,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評(píng)測(cè)):
! @' ^5 H) y8 |$ N, l n5 o+ Q2 A- M: |
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search]
( U' B1 C' M1 Q$ A/ P P
- [; `) Q9 F: v' H4 g "CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" ! C# ]# p' K' B* ~5 P: r6 L7 _4 K$ P9 D
- s) P6 Q" Y( u6 b
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
' D4 q6 u; d( `9 R5 i6 L s; P; | q: j+ N# b
[HKEY_LOCAL_MACHINE\SOFTWARE\Wom] 5 a# Y3 L! g. h' ]
: z. @2 w1 \3 _$ [/ a( g/ n "Masters"="0F0F0F0F" 0 Q& c* P6 R7 F3 j! Y
- z7 b# J6 x7 L+ a2 F "WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" 2 t2 s1 Y3 c' r3 V& S6 M
, ~+ g7 m2 b0 g2 ^& y "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
# r) `+ x! ]8 A& g! ^8 M- m
* W# O$ n" x, C/ c& z+ j% ?6 L [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes] ; J5 m/ R- i1 d( b# N
# v+ ?% L1 D' W
"DefaultScope"="Baidu"
' K* m _3 X _1 A i( A! @
" s4 N9 q! d; E; r, ^9 S [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
y4 w. N! v; {4 _: l$ |
5 G6 t L2 t4 D: P "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" * n2 A2 d% k0 d" Q4 e. V8 J
! ^$ w/ }/ y+ M# r! o$ V- u [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] + O% T- e) A O! Y" y4 G
; V+ N& l2 | L% c t/ q "Codepage"=dword:0000FDE9 : X3 ]9 U; A1 G( B+ e, _
7 U; m! |5 A' a1 X! f5 ?
"DisplayName"="百度搜索"
# n8 ]0 Z9 K0 C7 Y8 j! ^, ~6 @0 ?/ s# `" A
"SortIndex"=dword:FFFFFFFD 2 M' E: s1 Y4 E$ q
$ J' a* K9 n0 ]" ~( l/ l7 i8 |
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" * ]3 S, R j4 X7 V& x8 y" Q* A
7 Z8 q; r+ Q N
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] + }' e9 T' M4 D& |9 U
/ D4 b w+ l) f3 j
"Codepage"=dword:000003A8
0 f4 }6 m9 u: s- C1 V0 Q0 |2 n" F6 f! C: v; ~. o/ X
"DisplayName"="谷歌搜索" # a: E0 A: y) ?5 p% V
7 I2 r1 q( ]8 ^7 M2 p& Q0 J
"SortIndex"=dword:FFFFFFFE
5 @% L+ N0 k k
4 I: T/ U" s2 _% `( l6 ?+ T "URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
( o7 I3 C. M' h0 w
; t5 Q3 O2 D3 v( O7 l1 c# R* D/ h [HKEY_CURRENT_USER\Software\Microsoft\Windows]
/ S% K. A, G( w% j. K0 ]
8 h" L* w& R5 R" A# C "Verion"="0013E86C8919"
2 @/ C, |9 H" x) U+ F1 i
' q3 @* _/ C6 x% H: }- Y% k/ Q [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections]
& Z: N# a2 X* p
% k$ d2 B7 {5 o9 [7 ? "SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
% ?0 M# q# z X! u- R
/ e c5 V- \$ O! W) u; j, ? 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\ B& m0 q9 G- ~1 h$ Y& i
$ S7 C0 w+ Z g( f# |
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
9 }9 t/ `6 A: ^# h2 X7 w$ S
- I9 _" P- R. E @/ m [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] , y9 p# j/ t: ~0 {
0 A- i4 g J5 v/ g) V+ I; v
"1803"=dword:00000001
9 K @/ G/ q6 e) m k/ v/ F0 f
+ e8 [# R# e/ [7 O6 C 同時(shí)中途可能會(huì)連接以下不明網(wǎng)址:
3 e, b! b3 |) M2 \# i4 m. m- d; r# ?& [8 S( G
www.930930.com 3 v# i u' L! ?( g
3 }8 }% X) W/ a# V ^ www.304304.com
4 K8 M a: _: L- |
8 ?" _. @0 u" `! [ www.072072.com
* x1 p2 x2 _6 d
: U u2 B# I& Y$ k 072072.com ( b: n0 }) O! \. O
& v2 C& ~8 |+ M. S- L/ |; g
www.146146.com , H! f5 l C9 Z, ^ {
" ~! u5 J; H$ w: O6 i
146146.com
3 `* | N1 G1 h Y+ s# Y+ `2 G
397397.com $ d# P: a0 h1 Q6 z% @& F$ H8 z
' p- t" o% g1 Y0 K$ k7 b 265.com
6 I; T: n( ^( g8 s( N% x4 x
7 e$ o" o: ~, @6 z: l6 l liveupdate.baidu101.com % {$ @2 [* P' r6 [. f2 _
. }0 x1 F( Y: o5 D. `! W 3、強(qiáng)行修改注冊(cè)表并劫持COOKIES:
8 s+ i9 l2 {5 [" B* r9 q, C' E1 M. B/ C8 y" E! \$ P/ f$ _/ m; H
安裝新版Windows優(yōu)化大師后�,會(huì)在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符����,下同),同時(shí)��,修改注冊(cè)表以下兩項(xiàng): ; X" Y/ m0 H2 [' I$ }. c5 M
9 ~, s1 c, i7 B7 k+ j7 l
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
+ P9 V6 a" p: [, X
8 b k2 B) e8 Q HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 1 C; e, O U# I; x( S! [( y
* V2 d1 m& W% \8 Q. m1 x
為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat
" v% c/ l* z, M4 T3 H/ Q% X* G `! ], V. b! [& ]% n3 F
此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺(tái)偷偷鏈接某些不明網(wǎng)站的行徑��,掩飾那些不停生成��、快速增長的cookies文件�����,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾���,只不過����,因?yàn)榧夹g(shù)人員的一時(shí)馬虎,忘了將最外層的Software文件夾也加上“隱藏”屬性�,才暴露無遺…… ' q, b" f$ s, R# Q- @0 m+ x
7 ^, Q% a$ x4 x/ u% D4 w 4、APIHOOK:
, B7 G0 a' v6 z3 `3 s, e- z$ q5 U2 X# M0 W2 Z# w5 N, J
安裝新版優(yōu)化大師后�����,會(huì)將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊���。 4 h8 c* p) t, ^5 L& e; j1 ~
3 }9 C! Z' ]" ^) _, v. Q# z9 T6 L" v* U 此項(xiàng)為網(wǎng)友反饋�,因筆者水平有限�����,對(duì)此不甚了解�,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)����。
, t* k; A5 P% h( y
: n. z7 z1 m5 G 至此,真相大白……
5 {: E( [2 k% a7 w
! b, n+ G. ~5 F% C2 s 我們?cè)賮韽?fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行���,侵犯用戶合法權(quán)益的軟件,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外�。其具有如下特點(diǎn):強(qiáng)制安裝、難以卸載��、瀏覽器劫持����、廣告彈出、惡意收集用戶信息���、惡意卸載�����、惡意捆綁等�����。 * P6 g+ n3 S4 Z- I5 h3 `
' |9 Y. Z, H6 r" V$ z+ K
由此定義���,對(duì)比新版優(yōu)化大師的行徑,相信大家自會(huì)有所明斷。 % b$ `) R, o7 U7 x
8 e& ?; [ p; R N: L+ D4 F
在CNBETA發(fā)文之后���,優(yōu)化大師官方迅速推出了V7.93.9.305版本�����,將游戲大廳修改為安裝可選項(xiàng)�����,但據(jù)網(wǎng)友反饋����,其篡改搜索引擎的行徑卻依舊故我���,其它幾項(xiàng)暫未做檢測(cè)���,故不加評(píng)論。 * a; h" |; f) u$ e* `' b
% j" a( v- |+ \. B7 I. d+ ^- w) E
因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng)���,故在此提出簡單修復(fù)解決辦法��,僅供參考
3 ?1 }1 a8 p, J2 R) V" ?# j6 b0 X) F6 I
當(dāng)然了�����,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~ ) L3 g' v+ O8 m% O
( i8 C! ]- S& j& M* J3 {- ~1 e
針對(duì)前文所述4項(xiàng)內(nèi)容����,進(jìn)行以下修復(fù): ) k1 w1 [. i* v5 d4 ^
5 ~$ D; X R* g. h 第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式;
! b: i8 T, o# n+ l
' }* M5 m( Z" f- F 第2項(xiàng)可在卸載優(yōu)化大師后�����,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對(duì)默認(rèn)搜索提供程序進(jìn)行的更改”)�����,之后手動(dòng)清理注冊(cè)表以上所列項(xiàng)目�����; 4 m5 l' L% b8 t n1 ~
" b+ E- y& |9 O+ o/ N/ G7 P
第3項(xiàng)需修復(fù)注冊(cè)表以下兩項(xiàng): , O4 h/ p# P7 A8 l% v
- M. R7 O& W V/ e( f1 k, x
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies + O4 w# y- w; q. e
4 T: P- |- C! d7 ]
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
* J6 ~: ]4 E; l
, Q, I% c. N* \, L2 x VISTA�、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies 1 o1 e, e6 `' i& F8 |2 ]) m& l# Z+ t
0 r+ V' W- b$ G XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies - ^! v, Q( G/ ]1 y' Z
" j+ ^5 k1 M' a' f 重啟電腦后刪除所有盤符要目錄下的Software文件夾�;
0 t# Z9 M' i- O8 B1 p9 n. v- C3 w4 F/ x' C
第4項(xiàng)因筆者水平有限,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
