自優(yōu)化大師推出V7.93.9.303版本以后�����,不少安裝此版本的用戶隨即發(fā)現(xiàn)��,自己的電腦中多了一些不明文件及程序���,并且搜索引擎被強(qiáng)行篡改,隨即紛紛到優(yōu)化大師官方論壇提出問題、尋求解答�。但眾多用戶的反映卻未收到官方任何回應(yīng),反而被一一刪帖�����。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文����,引起各方關(guān)注�,官方才匆匆發(fā)出一個(gè)公告,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序�,對(duì)網(wǎng)友反應(yīng)的其它問題卻只字未提。
7 c! @; m2 M3 s; A4 J# R
, h( r/ v) C$ X$ W; n! x/ w 做為多年的優(yōu)化大師使用者�����,筆者也是第一時(shí)間趕到官方論壇�����,本著對(duì)優(yōu)化大師多年良好聲譽(yù)的信任�,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法,然而��,卻遭受到了刪貼、封IP�、鎖ID的待遇。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對(duì)待用戶的意見反應(yīng)�����,不禁令筆者疑竇叢生����,于是對(duì)此版本軟件進(jìn)行了詳盡測(cè)試,并參考一些網(wǎng)友的反饋����,得出結(jié)果令人大跌眼鏡。下面我們就來看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對(duì)用戶電腦進(jìn)行“優(yōu)化”的:
. M! K5 k( k7 p& J$ q8 [" H t' N+ {+ d) a* `
1����、強(qiáng)制安裝GAMEHALL游戲大廳:
" j) @. u2 ~% R2 |4 I$ C# N$ P) W7 H5 \5 b: \
默認(rèn)安裝在C:\ProgramFiles\GAMEHALL,并在開始菜單添加快捷方式��。 8 n0 b6 B) K9 X" s6 s) r$ }
+ d$ g3 j/ n7 o( A1 G, g% q
2����、強(qiáng)制添加并篡改IE搜索引擎: ! a$ r! H3 N" n' V8 p3 G8 E
& y( N+ O' l: I
安裝新版Windows優(yōu)化大師后,即使不選擇任何設(shè)置���,系統(tǒng)注冊(cè)表會(huì)被修改�����,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評(píng)測(cè)):
9 q0 U6 Z. O4 S% e# F) R7 d% y; r; Q. k
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search]
9 p* z1 t+ p5 {% M0 b* j% p+ m% }6 J
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" , j3 Z! y! }$ y4 w
+ Z4 R$ I" m$ T1 S5 B: Y) w
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" : g+ \+ Y4 V% S* O% C2 p+ s1 j
, s, B6 N2 k/ q- n3 x3 { [HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
: z$ t3 ~$ F D: C8 p) @ Q
% E# h6 I# q7 S$ m6 ~ "Masters"="0F0F0F0F" ; s+ F1 z0 x7 q* A
/ N6 t) @6 e# d/ ]
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" " [# Y/ i+ B5 O% M# n6 E- f+ N
s! b2 Y6 J, b% L2 }
"WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
7 E6 b8 u( y7 j/ P/ E# x" Y0 w1 M( o4 p2 ]7 t' k
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
& p1 S) z1 ?: }# }
0 K5 g) \& a' E& j3 X Y( h "DefaultScope"="Baidu"
2 o& i3 x& W* g6 L; ?- W4 b& P5 W7 U0 a" z r
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
4 U4 g+ K( W0 Q
, }8 l' e4 u5 l "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 6 M& b' K8 f! C" j; m
" L% G* O; J: d, i# N
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] ! K$ j; A- E& O0 l; ~/ ?; m
" m6 v& w/ k1 h. J$ E+ ^8 d "Codepage"=dword:0000FDE9
) C; u+ Q0 R2 r9 G& D7 [. z
. j4 |; x; w2 E+ T& L' { "DisplayName"="百度搜索"
& Z9 @8 ?, I$ ~. y4 f. G' _; i6 |" J6 ~/ w0 G8 W: g
"SortIndex"=dword:FFFFFFFD # V$ a$ F1 s. j" l& v+ [# E1 T1 t
7 Y& n7 ~, ]. k8 t0 i
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
) F7 K1 }% ]% X3 G( B# X+ m9 K( n, J" g, g
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] , Y8 B; ? O; U2 e# K2 u
; M/ U W7 l. f7 P9 n$ S
"Codepage"=dword:000003A8 3 M6 J% i X1 B H. ~ H" h
- H7 |+ M1 e5 x* f+ k8 A% N
"DisplayName"="谷歌搜索"
8 Z, ?( ~) x2 T# J4 I' K+ C1 [( p4 M( x+ H: Q2 I2 h
"SortIndex"=dword:FFFFFFFE
. v2 Y7 B2 J6 ] ]) Q4 U. p/ A3 q% ~
) s/ v ~* M7 o/ L2 t8 t; t8 k "URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=" ) H" T0 K' B" p t( c: E" S
6 a. n5 g9 z, }0 ]! @" l [HKEY_CURRENT_USER\Software\Microsoft\Windows]
) J: J/ R+ v7 ^- Y" U/ D( @+ f3 {
' J- b: `3 _2 ~' r "Verion"="0013E86C8919" 7 w% l" e. \# H. z7 ]4 q0 Y! B, o
& ~: U. y: Y R8 E" }$ P [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections] & n4 r1 x, K0 ]
+ U+ z5 c8 _, l. a' o) C4 p
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ 0 T* J* d# ^! |1 s/ ], W
, T" I8 ^9 W# j3 _" _' J" i% i 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\ . }4 u8 s. N7 v, z. o
/ f- U. Y- j, x j0 x- P& d0 u$ r 01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 ! T6 l! [" L' `6 T# S5 Y% \
9 a& ?8 X2 l, F" [- K5 G. C7 {" F
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] & S# C8 W2 K& w3 k2 U5 ]+ r1 i
. z3 o& L" T/ k; j# j6 X, Z
"1803"=dword:00000001
2 V1 Y& R1 N2 X5 O+ {( t3 z: X$ o! x; z' W/ \
同時(shí)中途可能會(huì)連接以下不明網(wǎng)址: j% l- S% v, ^1 z2 L4 _# N
+ B5 v" F1 G7 M' X www.930930.com , ~; H1 w+ w/ O- U, @
; W* M% s1 D+ v/ L$ T* L o( A V
www.304304.com
% Y( a; R3 X! Y& G
. q9 r: g0 j2 ]% `( y7 b3 h www.072072.com
: _; {" |7 }7 |( w6 G' z. b4 a: s) {9 C1 P7 m
072072.com
+ C: g5 _0 r8 Z# A9 K! s
# @% m- |. H- b" X www.146146.com 3 v0 x0 B+ S3 e" j* w- y( c$ l- ]
3 c/ I8 o' p, s+ _/ y: t
146146.com
" b# Y2 q4 j" K0 L. d: _9 _8 O, p% y- s4 h
397397.com ; \1 T( l+ Z! R5 z
$ \) j) S& k3 f! L4 ]! x
265.com 4 n( P8 b/ `4 Q) G5 {9 Q* O9 Y
$ i5 {$ e& q1 E. n! g
liveupdate.baidu101.com
& e: Y, |0 u: ~: x9 c( P9 N' B* S' ]! E4 ]; [1 O
3���、強(qiáng)行修改注冊(cè)表并劫持COOKIES:
+ \- q; \! W9 u1 K2 x `! D( @0 q8 R
安裝新版Windows優(yōu)化大師后����,會(huì)在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software��,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符���,下同),同時(shí)���,修改注冊(cè)表以下兩項(xiàng):
6 x. O" R& O I% ^1 V1 M W3 C/ l r
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 5 o+ u& G/ H: s; j' p O# @, a$ ?
! Q H" ], ~6 P, k: K
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
J; n& d5 a0 W8 ?" X2 T
1 r0 M5 z; e7 O% r 為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat + n$ s7 s9 E8 v
0 `5 W% J# ]' u* F8 B! ~7 O! R 此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺(tái)偷偷鏈接某些不明網(wǎng)站的行徑�����,掩飾那些不停生成�����、快速增長(zhǎng)的cookies文件�����,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾�,只不過,因?yàn)榧夹g(shù)人員的一時(shí)馬虎��,忘了將最外層的Software文件夾也加上“隱藏”屬性��,才暴露無遺…… & C! E0 A: K+ {9 l% a
# z* y* G2 m6 D
4�����、APIHOOK: ! ^: n. n3 g' c/ i+ Y
4 u5 v0 i* F' e1 Y/ {+ a
安裝新版優(yōu)化大師后����,會(huì)將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊。 ; e4 s3 w, G( z' g: @* o
( E, i: j0 ^4 v6 W6 e+ _
此項(xiàng)為網(wǎng)友反饋�,因筆者水平有限,對(duì)此不甚了解���,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息���,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)�。
2 g" V7 F7 P: d; u# ^8 `4 |9 m- R6 L. @" w/ k/ m
至此��,真相大白…… + d3 _6 B/ L3 V- E+ I+ S
/ b( L2 O) X& Z9 s+ m+ E+ m
我們?cè)賮韽?fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下�,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行,侵犯用戶合法權(quán)益的軟件��,但已被我國(guó)現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外���。其具有如下特點(diǎn):強(qiáng)制安裝����、難以卸載�����、瀏覽器劫持�、廣告彈出���、惡意收集用戶信息�、惡意卸載�����、惡意捆綁等。
, ~1 g4 R m, `# b) q4 c' t7 E( G' ~" C4 f7 h% n2 S: H
由此定義����,對(duì)比新版優(yōu)化大師的行徑,相信大家自會(huì)有所明斷����。 7 z+ \! E6 z$ C+ ] p3 s( `; [
# y2 O0 K+ y" ~! P 在CNBETA發(fā)文之后,優(yōu)化大師官方迅速推出了V7.93.9.305版本����,將游戲大廳修改為安裝可選項(xiàng),但據(jù)網(wǎng)友反饋���,其篡改搜索引擎的行徑卻依舊故我�����,其它幾項(xiàng)暫未做檢測(cè)���,故不加評(píng)論。
- W' r2 _* V+ @. B5 W+ U2 `
0 u" l, v; j" M5 j. v. Y. V: k 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng)���,故在此提出簡(jiǎn)單修復(fù)解決辦法�,僅供參考
3 P: n4 V( m9 c+ j7 U8 e9 }. Y Y$ o" I/ b) o9 _0 j, Z( @3 V. s
當(dāng)然了,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~
- w3 g3 d7 @+ O0 k2 ]
2 I+ h9 E7 q; Q4 A5 i6 A$ m 針對(duì)前文所述4項(xiàng)內(nèi)容����,進(jìn)行以下修復(fù): 9 k$ g n, }0 V7 ^2 a! B
0 j8 U0 X& J4 i8 O, H. \8 z
第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式; ! _0 \' B# A9 M! _7 ^ p# q& t
, V! E/ w) P' W5 W/ A4 U& k& f8 t
第2項(xiàng)可在卸載優(yōu)化大師后��,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對(duì)默認(rèn)搜索提供程序進(jìn)行的更改”)����,之后手動(dòng)清理注冊(cè)表以上所列項(xiàng)目; % t2 U: N$ w' ]5 c- A
3 q% ^, f: r7 y9 A3 i9 {# B
第3項(xiàng)需修復(fù)注冊(cè)表以下兩項(xiàng):
: w8 n6 u% d# r' Y. W+ O# t$ x: i9 o- H( Q; O7 {$ I, M
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
8 o/ m# P3 q# @) Z8 Y- L
& B. ]$ H; h" k( _- ^; K1 y+ X HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies ) r- G8 S% `* N& r P2 ? R
* o$ h& \0 d, e1 L+ M! L VISTA�、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies . ^' o# y1 j! W, L) ?: H
8 d" S- G! E7 L" G2 ? XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies
, `" S2 n9 v& U! I x" t/ i
$ B& x0 `2 p' t" ~ 重啟電腦后刪除所有盤符要目錄下的Software文件夾;
0 O* ~ a0 T& R5 z* n' R( W$ w
9 F2 L0 P9 n+ S4 N( b5 v 第4項(xiàng)因筆者水平有限���,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
