自優(yōu)化大師推出V7.93.9.303版本以后�����,不少安裝此版本的用戶隨即發(fā)現(xiàn)��,自己的電腦中多了一些不明文件及程序�����,并且搜索引擎被強(qiáng)行篡改��,隨即紛紛到優(yōu)化大師官方論壇提出問題����、尋求解答。但眾多用戶的反映卻未收到官方任何回應(yīng)��,反而被一一刪帖�。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文�,引起各方關(guān)注�,官方才匆匆發(fā)出一個公告,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序����,對網(wǎng)友反應(yīng)的其它問題卻只字未提。 3 T5 T. @' h `7 U- s' |9 c2 U
; G$ y, j" |" |# D
做為多年的優(yōu)化大師使用者����,筆者也是第一時間趕到官方論壇,本著對優(yōu)化大師多年良好聲譽(yù)的信任�,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法�����,然而�����,卻遭受到了刪貼���、封IP�、鎖ID的待遇����。一個“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應(yīng)�����,不禁令筆者疑竇叢生���,于是對此版本軟件進(jìn)行了詳盡測試,并參考一些網(wǎng)友的反饋�����,得出結(jié)果令人大跌眼鏡�����。下面我們就來看看這個新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進(jìn)行“優(yōu)化”的: $ b! y1 _" y6 d# y
2 g3 D, e0 K8 Q) p3 v
1�����、強(qiáng)制安裝GAMEHALL游戲大廳: - r4 E. ?5 A9 s- V
2 u. \9 O! l3 M
默認(rèn)安裝在C:\ProgramFiles\GAMEHALL�,并在開始菜單添加快捷方式。
* h' Q' \3 v- Y1 @0 f& S; q; t
; U8 C2 ], F# N" [6 t6 O 2�����、強(qiáng)制添加并篡改IE搜索引擎:
" _# c0 j( a" f; o% p' R% X1 `8 y" q5 Z4 Z+ i; n4 D2 p- u9 N4 T
安裝新版Windows優(yōu)化大師后,即使不選擇任何設(shè)置�,系統(tǒng)注冊表會被修改,添加和修改的內(nèi)容如下(此項內(nèi)容引用網(wǎng)友評測):
" ]3 W4 U6 _; ?1 S
( @/ r6 z0 F: y; n [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search]
4 @* U* B8 o+ h0 s
+ W/ x" U }- b "CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" " [: L0 s# }4 W0 W' _9 V* g& C
( m% N. @4 ]* D2 U7 P! D "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" 0 y2 b3 T5 ?. z- {+ M
% a+ l- F) K: e8 Z
[HKEY_LOCAL_MACHINE\SOFTWARE\Wom] , S5 i; m2 U! c: _* Y o
! f9 U/ \* f, D) @& F0 ?9 W5 T "Masters"="0F0F0F0F"
# S+ |) |3 i) f9 K, G7 X- M& _' f- B N1 V" V- }
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll"
4 ~8 r( |+ q- ]& E X0 m8 g
1 z! x2 M& i. ]+ F& a" J "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe" + p1 [9 L. H6 Q! ~) ~7 @: G
# v8 K* {3 _# y1 V6 B
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
4 k# _+ |! Y' o) A. o" Q5 O# x3 f) B. b: _) ]6 y# E
"DefaultScope"="Baidu" + K6 l' L& k! ^) q% l$ ?0 G2 s% M7 r
8 H% r0 t- M, ?$ T( U. p9 p, H
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}] , G' n. b; L, Y$ l. O& l/ h
8 W5 Z. g2 d7 Y; u3 q
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" . B0 ~ i# Y0 m# _& K. E# B
; }' Q) D Q0 q" ]7 X [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] : n# S# e! i0 r5 o
: |- i! J1 s* \$ j' i: l7 S, W "Codepage"=dword:0000FDE9 4 F8 {4 S# J5 X* I ?- d( u9 g5 _0 t
2 b6 _. k& N8 ]/ T
"DisplayName"="百度搜索"
+ r% A* J& m/ Y7 H4 ^! K6 K
: o9 ]9 |, w# K0 h: L- s! d "SortIndex"=dword:FFFFFFFD
2 ~8 C( M' v f1 `7 N) q W, T* ^, ~9 l- t4 f+ K( ^
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 9 U: _* Y i. V4 y# E
/ m7 b, {/ T7 k# [: @
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google]
* G) g; D. j6 A7 L2 {' Q) n1 Z9 B F7 \! v
"Codepage"=dword:000003A8
5 {* }+ C5 Z6 t- o4 n7 y
! q* p; Y0 i( F* k3 S H "DisplayName"="谷歌搜索" : t7 w; a8 l( _- Z4 E8 @4 z
0 \/ x% }0 [' b1 h "SortIndex"=dword:FFFFFFFE : ~" J% z# |0 |% W: c
* l6 _ ~4 H- p' H% z s, n
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=" ; j% _( v. ~" F+ @7 D
5 D: {% L) @. S [HKEY_CURRENT_USER\Software\Microsoft\Windows] . O9 r) `9 |0 I4 w; j4 j- l
/ Y/ m$ M. p; E T+ H9 M. Z
"Verion"="0013E86C8919" ( Z6 j) [, L& Z {* r
* O2 m$ a2 ]1 b* [9 y [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections]
: G |7 z. ]% K' N& R
0 E% @ Y' q% P2 E1 P/ {7 O "SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
0 k! _9 X& s, Q/ m: A' d# L
& b4 Q4 N* u! { 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
" _$ ^+ C4 T, N% ]" I4 A0 U) F
6 _8 k" d+ ]- q. l1 _# L0 V0 d 01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
2 l! L p0 x. p: T- r$ l, A' ~6 E& W9 Z; P' m+ J
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] # U; R$ t2 f8 z- E0 b
, U9 F( L/ }; Z5 K7 ]2 y
"1803"=dword:00000001 " w9 W! y; C1 a( \3 G
2 @! V0 l* }, Y7 J2 N5 O 同時中途可能會連接以下不明網(wǎng)址:
4 {$ z- h2 z- i4 B; ^7 _- ]( e+ z) ?* [. E' D- x/ k$ a; H- W
www.930930.com
1 Q8 w+ R$ h( c) Q2 m% V. x6 O, B
# Y! [- S+ X7 U" n www.304304.com 1 }( {& O; C4 z U8 _ |6 {
# G4 j& k6 f9 d' P! D6 h1 H. ` www.072072.com
7 a: P/ q3 O1 H( S" r6 ~% t$ q2 G( T X! N
072072.com 9 w; Q3 U5 X. v* c
; P! b: |" P( U" A9 h
www.146146.com & x8 D5 ?) g+ k# K. p% R! ]& v: ]
) [& | a. c5 P% f# q7 j 146146.com B) B9 X( p6 G6 E5 D% X
+ E# i; D$ y, a# l# X 397397.com
3 p4 o, L" A1 e
6 N+ ?: ?& G0 a* ^ 265.com , H Y: a0 W, X- P" p1 s
* f- K" h% X+ G& h liveupdate.baidu101.com
5 C' M& }1 c( |! j, Y5 g1 D' v6 w& T# S. G7 x/ C8 W1 x
3�����、強(qiáng)行修改注冊表并劫持COOKIES: ' K, V3 a3 [& |7 q
4 y" G4 J( V* M. I
安裝新版Windows優(yōu)化大師后�,會在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符���,下同)�,同時�,修改注冊表以下兩項:
' V) a/ A9 d" n9 ?; o* R
' h5 y# r/ J7 z3 | HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 9 G) G/ w& l# T6 k
+ @0 ]7 ?7 Z0 O5 c; |. g
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies % M9 a, v# W" t- Q+ u0 y
, j. h# K, |$ H" c 為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat ; o- H, P; w6 t
7 L! O2 H( u' p* c; K* J3 I# ~
此項內(nèi)容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網(wǎng)站的行徑,掩飾那些不停生成�����、快速增長的cookies文件���,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾,只不過��,因為技術(shù)人員的一時馬虎����,忘了將最外層的Software文件夾也加上“隱藏”屬性����,才暴露無遺……
# o C; `- ]& n$ V) e0 [" i6 W- }# b8 P6 c. i
4����、APIHOOK:
, w+ F0 |9 U6 @' d2 n
* n% r5 t! a" Y4 f* r 安裝新版優(yōu)化大師后,會將系統(tǒng)入口點FindFirstFileExW掛鉤至0xB8ED3A26模塊�����。 ! ?1 V! n2 g8 M7 ?: g9 _+ B! }
! Y6 \4 \. O/ g* x5 b; m+ c: O
此項為網(wǎng)友反饋��,因筆者水平有限���,對此不甚了解�����,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息�,還希望有技術(shù)高手繼續(xù)研究分析出其實質(zhì)����。 7 p; {8 m0 R6 n5 @8 Z: V: N
; X, p% j' B# I! M1 B 至此��,真相大白……
* M/ Y, |. J% Z" \ X6 q6 B! |/ K1 J
& Y, {+ J1 W4 T, L; o$ q 我們再來復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下�,在用戶計算機(jī)或其他終端上安裝運行��,侵犯用戶合法權(quán)益的軟件���,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計算機(jī)病毒除外���。其具有如下特點:強(qiáng)制安裝、難以卸載�����、瀏覽器劫持��、廣告彈出��、惡意收集用戶信息���、惡意卸載、惡意捆綁等����。
$ y6 n% S$ U" C% H5 T" P0 F2 R7 f3 M& g' x& K8 g2 C
由此定義�,對比新版優(yōu)化大師的行徑����,相信大家自會有所明斷。
1 F/ _! M$ R" `% }) z+ T
& M! S( _, I- w& a/ C 在CNBETA發(fā)文之后��,優(yōu)化大師官方迅速推出了V7.93.9.305版本�,將游戲大廳修改為安裝可選項,但據(jù)網(wǎng)友反饋�,其篡改搜索引擎的行徑卻依舊故我,其它幾項暫未做檢測�,故不加評論。
8 w" y; }$ F3 O* V! V9 }4 t8 C! a( _- d8 H* [& M A" X
因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng)��,故在此提出簡單修復(fù)解決辦法�,僅供參考
3 |% V4 ^1 d h- W# Y8 ]! t4 S0 M( d6 c# z+ z }" v
當(dāng)然了,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~
# Y( ~1 D2 ]+ s8 M- r* o/ n5 P. G
0 Q& t; b- e8 N4 i. { 針對前文所述4項內(nèi)容�,進(jìn)行以下修復(fù): ' m" }6 C% q, M4 C0 N2 _% Z9 z4 Z
+ A+ N l5 m: \% _ v4 b2 o
第1項可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式; , y% B3 s% C- ~1 `
0 Z Z+ n$ J3 T: q
第2項可在卸載優(yōu)化大師后����,在IE的INTERNET選項中自行修改(WIN7系統(tǒng)最好同時勾選“阻止程序建議對默認(rèn)搜索提供程序進(jìn)行的更改”),之后手動清理注冊表以上所列項目���;
4 V$ ~: c" x& O2 f2 F/ @1 R: g. U4 K/ _/ g2 ~8 i
第3項需修復(fù)注冊表以下兩項:
+ I6 B% K5 a: E) {, I( a+ x3 P' ]8 q. |1 Y5 d9 k
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
9 E8 V' `8 F; ?, X) j7 n! r, f9 h6 w: }" l% ^) [1 B7 h$ H
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 0 v* ]7 w& b+ Q; y# J6 T
* C9 {+ J6 K# a8 J' m VISTA����、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies : j# u. o0 @" s7 Z3 D Q& L
b) d$ \1 p# B XP下將兩項分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies 5 Q/ _" k; M5 v; @" f
8 V% ]; Z# ~5 ]4 u2 Y _: S
重啟電腦后刪除所有盤符要目錄下的Software文件夾; * B3 C9 x6 k& M g
% _' F+ Y; J" _ 第4項因筆者水平有限�����,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
