自優(yōu)化大師推出V7.93.9.303版本以后,不少安裝此版本的用戶隨即發(fā)現(xiàn)���,自己的電腦中多了一些不明文件及程序�����,并且搜索引擎被強行篡改����,隨即紛紛到優(yōu)化大師官方論壇提出問題����、尋求解答。但眾多用戶的反映卻未收到官方任何回應(yīng)�,反而被一一刪帖。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文��,引起各方關(guān)注�����,官方才匆匆發(fā)出一個公告��,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序��,對網(wǎng)友反應(yīng)的其它問題卻只字未提���。
2 f( `5 f# ?* r" w& n: Y( @: r1 E; c& q6 C) P; [
做為多年的優(yōu)化大師使用者��,筆者也是第一時間趕到官方論壇����,本著對優(yōu)化大師多年良好聲譽的信任�����,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法����,然而,卻遭受到了刪貼�、封IP、鎖ID的待遇�����。一個“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應(yīng)�,不禁令筆者疑竇叢生�����,于是對此版本軟件進行了詳盡測試��,并參考一些網(wǎng)友的反饋����,得出結(jié)果令人大跌眼鏡�。下面我們就來看看這個新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進行“優(yōu)化”的:
6 ^6 n, X- ^6 F# Z+ [' @/ H) ]
' `+ D' v: t. k2 k6 b- a+ ] 1、強制安裝GAMEHALL游戲大廳:
1 Z1 s w) a: r% f+ y; _7 ~* D- n# @% ^# ~% i; x4 Y
默認安裝在C:\ProgramFiles\GAMEHALL�����,并在開始菜單添加快捷方式�����。 y6 v* @1 H, g+ F' G+ J# n
# ?, K7 F7 `4 V, l; m" u 2����、強制添加并篡改IE搜索引擎:
2 c3 W' U( \! |6 w) Y3 F9 v9 D [& q1 l% H* e
安裝新版Windows優(yōu)化大師后,即使不選擇任何設(shè)置�,系統(tǒng)注冊表會被修改,添加和修改的內(nèi)容如下(此項內(nèi)容引用網(wǎng)友評測): 4 g, o* Y; l9 p% v* v( O/ s# q7 ^
; w9 h4 J+ S4 G* A, C- Y [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search]
! z% X$ y1 q3 k0 J# v" F) ~; h, `+ v3 [$ L2 h7 |: _
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg"
6 m) E+ \. v+ R- K$ Z
9 ^7 U& j# R0 g; Y- Q "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
& x2 Q' A! e4 C
& C& \; S+ }( X" D! ?( L j [HKEY_LOCAL_MACHINE\SOFTWARE\Wom] " D" [. p& h1 A: I' q
* V; [% Q. `4 c: z+ @- t7 {! A
"Masters"="0F0F0F0F"
2 y8 c5 q) v: T
/ t; P* \; W7 T3 m "WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll"
6 c. d. [, R5 Q/ o) t8 n0 x) B7 S' ]1 n6 W$ w
"WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
% ~7 u9 N h* t. X9 F a. C
/ B2 w4 a/ Y. l% L/ D- f1 p [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
6 q8 B- N1 O+ J6 [: `% C9 ~8 @+ d- n5 m; A
"DefaultScope"="Baidu"
# G# G1 M# k& e4 Q- J. w; n$ H
4 S. z0 ~9 F9 N: G6 V( [1 {" G2 Q [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}] & _' @; W; j1 S. Y' {; E; O S
$ W4 G: {/ @7 H; @; a
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
/ _+ ~1 V { } S+ b, D! H
' B9 i9 V) h) {5 \8 Y [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu]
/ `3 b. G( W: h4 G" }8 x- D# T4 X3 u9 T. C$ ^4 X4 Q
"Codepage"=dword:0000FDE9 & @$ j" w( a! T8 F& U! f
% a% w$ z! W: {! S9 g) a3 F% g# I4 f) ^
"DisplayName"="百度搜索"
6 X7 ?2 X2 M/ C& ~% i. c' Q( {. \# J" E- ]5 F0 ] V" Z: K
"SortIndex"=dword:FFFFFFFD
: x G* j3 `# U0 R' H: a" G+ w4 q* _7 D9 w$ t0 _& n
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" " i+ A# x. J& ]: S. f- J. m
6 E4 @/ F- K% V' O [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] 5 r j+ K; \- z/ y Y
( X: f) q/ \4 L7 `) f: b
"Codepage"=dword:000003A8
4 z+ |& o7 F" p1 G' |
9 i. Y# v4 a* k. e+ p "DisplayName"="谷歌搜索" % L6 b" r8 x& F
. w! V! p: p3 W! y$ _1 B
"SortIndex"=dword:FFFFFFFE
4 W/ {) T }( V( }# s, \7 Z& |, r2 p
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
1 G! X0 z+ D, ^) z$ s" R: v8 B) V `
[HKEY_CURRENT_USER\Software\Microsoft\Windows] 3 L! ~6 u2 P# }) N
( P2 A f+ N% c# Q "Verion"="0013E86C8919" }: \8 p. V- S1 ?9 |
1 b/ a( p/ R% T" S3 V; i
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections] % j0 i& j/ u! Z
1 w3 p8 o4 F. E7 v& T) q "SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
* O5 G) ~" x0 `- c. B. _4 w {2 z9 D; ?* T6 N' x4 j |
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\ ! G) G+ Q6 M* m4 L- e4 Y
7 i! i6 a7 V# H# p6 N3 j+ O% ?
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 0 ?. r6 }$ C) B6 T
; o3 I: V) a, p x; t$ a, k
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3]
/ i) f7 F2 A3 C- u
) [* h! S; N- Y# I6 | "1803"=dword:00000001 5 r" X P$ B$ A3 t
+ ]( l' g* a. R: {/ p, }% g 同時中途可能會連接以下不明網(wǎng)址:
3 ]$ Z+ y- U% f3 i/ @
3 U5 s: s s- ?1 @- Y" b' b, i www.930930.com
2 t% m6 |0 v; S2 F* H" l# v: H+ @2 x! t }; U
www.304304.com
" m: F# }# e y3 v& K& I
1 k& ^# c$ Y" c6 Y+ H www.072072.com
" b$ D+ n( b R4 b, c- j$ g; ]% I- ]; ?- m+ K* P' v/ B
072072.com . `& K) m* J0 z1 j5 _
; q0 t: R' a9 p5 ^, c/ _ www.146146.com
9 N) H" W. p z; \
3 J! N/ |' T, e& b# `9 M 146146.com
$ k- U8 ]* w) `+ w: d
; s, r# x0 J6 B3 ? 397397.com U5 p1 O1 S, G/ P$ I% o P# @
" P, D0 ^- h6 y' I* u& l2 ] \& B
265.com
' R7 E8 b" J0 r. t5 S+ F. l; [: Q6 b
liveupdate.baidu101.com
; x4 W* t% U8 F0 s$ K
. N/ h: J! a; T: n 3����、強行修改注冊表并劫持COOKIES: & o) Z/ D; H0 ~6 G9 T8 ]+ g; \
# e- [: p$ J. i
安裝新版Windows優(yōu)化大師后,會在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software����,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符,下同)�����,同時����,修改注冊表以下兩項: : P9 L! U1 w6 r% v% _! p
2 i D6 N, @( x HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies ' G% h* f. c- _8 V% Z/ ?" g+ Z
2 a1 E3 Z0 o- h& }
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
0 Z) j( w9 }3 I
* r, t( X, q- V# j 為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat ! Y, @! x A. n0 b) \
& s8 W* |$ N/ E- J
此項內(nèi)容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網(wǎng)站的行徑,掩飾那些不停生成�、快速增長的cookies文件,而強行將用戶COOKIES劫持到新生成的Software文件夾��,只不過��,因為技術(shù)人員的一時馬虎�����,忘了將最外層的Software文件夾也加上“隱藏”屬性�,才暴露無遺…… $ x* c! S; g! G' N7 ~* D% D2 n
6 F5 `8 v+ k4 a5 y# C
4���、APIHOOK: 2 H m5 o; S r9 P/ i3 Q8 S5 J) B
+ H j- v$ [" M, @) U
安裝新版優(yōu)化大師后,會將系統(tǒng)入口點FindFirstFileExW掛鉤至0xB8ED3A26模塊�����。 / q# m- F2 o* g+ [ ~, n
3 W) \/ F9 r5 @2 S
此項為網(wǎng)友反饋�����,因筆者水平有限�����,對此不甚了解����,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息,還希望有技術(shù)高手繼續(xù)研究分析出其實質(zhì)����。 F: y9 n2 t* m; N
4 r- N9 ^! T! O6 M. s9 F- v9 v- o 至此,真相大白…… % u, h1 O% N( U! [* h6 l+ }$ J
x" u) O7 {( [0 i2 e8 |3 E 我們再來復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下���,在用戶計算機或其他終端上安裝運行�,侵犯用戶合法權(quán)益的軟件,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計算機病毒除外�。其具有如下特點:強制安裝、難以卸載�、瀏覽器劫持���、廣告彈出����、惡意收集用戶信息��、惡意卸載����、惡意捆綁等。
+ G0 z: [* d+ ~8 D' u7 \
$ G5 \3 ]. \. ~5 J( O) b; k, h 由此定義���,對比新版優(yōu)化大師的行徑����,相信大家自會有所明斷���。 " G( q; e( K! k
; j/ ]" o2 [& j 在CNBETA發(fā)文之后����,優(yōu)化大師官方迅速推出了V7.93.9.305版本,將游戲大廳修改為安裝可選項��,但據(jù)網(wǎng)友反饋����,其篡改搜索引擎的行徑卻依舊故我,其它幾項暫未做檢測�����,故不加評論�。
( d( s6 g( f- [/ u+ B/ n+ }# C/ H" q$ `2 G% q
因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng),故在此提出簡單修復(fù)解決辦法��,僅供參考
: l) S$ b& t. I0 C" W( K, h8 Z) g: k& p
當然了����,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~
" P; c. y$ A/ u. t! T2 w! g# _) l9 D+ E+ N" a. Y
針對前文所述4項內(nèi)容,進行以下修復(fù): + U* P: Y* h) R8 D) D
; O) O4 }2 j5 c+ w 第1項可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式�; , |% ~9 S, x4 s; L
, X( c3 c- W5 R5 k 第2項可在卸載優(yōu)化大師后,在IE的INTERNET選項中自行修改(WIN7系統(tǒng)最好同時勾選“阻止程序建議對默認搜索提供程序進行的更改”)�����,之后手動清理注冊表以上所列項目; 5 W& g3 R% d% L+ T5 t0 z
9 Z8 Q, u" l! z8 ~ 第3項需修復(fù)注冊表以下兩項:
) s, h1 W3 o# z. j" j5 K! @7 i# }1 ?8 Z4 V! [' b
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
( ]1 b. E" e9 T* z' M% {' J" M& L
0 V8 K. \: Q* n% S: _' S$ `4 ? HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
$ I& c7 L9 C7 c9 [
8 c. S ^) x* O0 r }* Z+ t VISTA��、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies I. U9 u& r8 @6 E+ b$ Y. l+ C2 e
5 w4 R2 J0 U+ i. ~1 b XP下將兩項分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies $ J8 z0 j$ }! g6 O0 H5 H
% o3 g- m/ B) [; s! Z 重啟電腦后刪除所有盤符要目錄下的Software文件夾�����;
m2 y7 |: ]5 w7 t! C3 V, K! u8 W1 k) u4 L: l: u% p
第4項因筆者水平有限���,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
