自優(yōu)化大師推出V7.93.9.303版本以后��,不少安裝此版本的用戶隨即發(fā)現(xiàn)�����,自己的電腦中多了一些不明文件及程序�,并且搜索引擎被強(qiáng)行篡改,隨即紛紛到優(yōu)化大師官方論壇提出問題����、尋求解答。但眾多用戶的反映卻未收到官方任何回應(yīng)��,反而被一一刪帖。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文���,引起各方關(guān)注��,官方才匆匆發(fā)出一個(gè)公告��,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序��,對(duì)網(wǎng)友反應(yīng)的其它問題卻只字未提�����。
) n( k X0 ~3 Q5 X
" K4 h3 }; M# n4 G4 |/ T x 做為多年的優(yōu)化大師使用者�����,筆者也是第一時(shí)間趕到官方論壇����,本著對(duì)優(yōu)化大師多年良好聲譽(yù)的信任��,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法����,然而���,卻遭受到了刪貼��、封IP���、鎖ID的待遇�����。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對(duì)待用戶的意見反應(yīng)��,不禁令筆者疑竇叢生�����,于是對(duì)此版本軟件進(jìn)行了詳盡測(cè)試���,并參考一些網(wǎng)友的反饋,得出結(jié)果令人大跌眼鏡��。下面我們就來看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對(duì)用戶電腦進(jìn)行“優(yōu)化”的:
4 d' S* U* z) U6 l5 x# T3 X3 E. U6 J H1 l, P6 [: d
1����、強(qiáng)制安裝GAMEHALL游戲大廳: # H9 \% c) j6 h! a7 k; p% X
1 b- b3 r5 f& S% f6 P9 t* p 默認(rèn)安裝在C:\ProgramFiles\GAMEHALL�����,并在開始菜單添加快捷方式��。 + ]4 w; m" n$ |! h7 T
$ g) x2 M9 b( F7 b& _
2�、強(qiáng)制添加并篡改IE搜索引擎: 7 _0 Q% k- m8 u C9 I
, Z' e Q2 Q. B* f
安裝新版Windows優(yōu)化大師后�����,即使不選擇任何設(shè)置�����,系統(tǒng)注冊(cè)表會(huì)被修改����,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評(píng)測(cè)):
) D) `& P: M& W8 k6 r7 B O/ K& a
0 B! D" J& [3 V# P5 I [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search]
( e5 P: I# \! m8 L0 {1 W# y& B9 O1 I8 c
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" 6 ~, ~1 B$ K* v" c2 B# V
: z/ `" g4 O: O) O- H1 b1 u" P3 o
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
/ j7 ?& i1 s c G/ M
* P5 W' [: _" b# W9 x [HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
" y) c. w- l4 P2 C% ~; s; E+ p T& h8 d4 F* {! o* m
"Masters"="0F0F0F0F" , b: V) A7 f- Y+ M. `" w
4 g& `4 S. E0 B3 [1 y
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" ) s% E" v8 N& I ?
3 y% p1 Q. O' {, A
"WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
6 C8 o5 ]& i$ C2 R) l6 h2 [3 E9 s; d6 v5 U; t
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes] * V. o$ C' e7 k, t# |5 ^
. V- X) b6 h( @4 y "DefaultScope"="Baidu" / b v& u+ R$ I& u: C) L* T
7 s8 I" | G5 s- g3 J8 Z) h/ ^ H
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}] " i- C$ u8 [8 B2 f
: D- e' L. e* \1 T1 o( v( ^ "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
+ O* q" Y. A( ?9 o9 b Y! D4 l9 T. k2 X$ Y
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] + z+ s8 R& {4 F9 b1 b
7 H( l' a: V, Y5 z2 ~& ~1 }. S "Codepage"=dword:0000FDE9 7 n% ^0 F4 V) U9 u* b
. u1 ^" ~# A& E" }/ g "DisplayName"="百度搜索"
0 R" T+ [: V9 I0 b8 d( y" s1 ^- P J9 A5 J
"SortIndex"=dword:FFFFFFFD
6 s0 F" n* o9 r5 y2 H
9 _9 E! x* R- G% [, P( h "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" / o4 m* y+ Y: V- V+ F, X' J
e4 [8 Y7 C# p
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google]
/ _* _+ C1 l8 z; |
6 n1 ]. p" v- l3 [9 i "Codepage"=dword:000003A8
! B0 \& w5 S4 g& w2 S1 W" a3 V5 ?: ]1 I$ L1 Q) ^
"DisplayName"="谷歌搜索" ; C) ]. x5 Y1 F
5 u. ?& I; g# h( ]; N
"SortIndex"=dword:FFFFFFFE 8 H) @. C% T8 l: ^! S
7 s/ i+ h1 P' X% d "URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=" $ ]1 @; K, R( q! `4 O' c% H
9 J2 G7 @) A& \, U1 J( e; i
[HKEY_CURRENT_USER\Software\Microsoft\Windows] ' n, l7 G; g" I F
|8 x; t) ?( K x "Verion"="0013E86C8919"
# L/ n. l2 j6 _0 m
+ ]* P+ z- Z g" l, ]& s [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections]
- q: m6 ]- L4 s8 ^2 C# |, @9 G* X3 I f0 e1 k
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ $ f/ O3 x3 K5 S/ c0 S5 Q5 C3 P, }2 ?
& `2 v- n- t& S1 z/ f' u4 K" z 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\ , P e, e) U+ j& b' q* f% P4 z
; f3 b# M1 {/ G$ i
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 - i" O' u; K0 A. p. k
# P2 |# H) z( c# J8 |
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] [3 S7 d' c* A' {8 R& w; N
3 _1 S3 `0 B; f. ?0 C "1803"=dword:00000001
& R5 C4 M; E* Z, h* u" x3 q) j" C- k$ k; l
同時(shí)中途可能會(huì)連接以下不明網(wǎng)址:
8 Q4 }8 Z+ L' e8 `7 q1 n6 U
& T! q5 v' t$ O' q. j www.930930.com 7 @3 M$ t: G# u2 T
/ o8 p) T8 d" V( e" F7 ~' [7 K7 d& ? www.304304.com 3 J' B- `4 @, p% p N8 G& f2 _$ u
- }1 V- H0 F: U4 Q G |# _ www.072072.com 0 E8 H& `! Y9 a2 @$ o
" w( I/ W+ z( I, B2 e6 H
072072.com , \1 M2 R* U$ V
, G! u7 _) q, C' ]0 f2 K$ J5 c% \ www.146146.com - }# L- ]. K5 t3 t) U0 z
3 A5 U+ [5 C: O/ [' r* d 146146.com
1 K h7 x& u8 i$ E# x& n8 ~* S% G6 ?2 b2 |# A5 f
397397.com ; j+ d, H0 c% Z/ y
1 W* n+ Q. n! x 265.com
, r4 A% t$ m2 O$ ^
. s& y% ~ `4 N+ j liveupdate.baidu101.com @; w+ j5 m. P$ _7 G0 C) A4 W
8 h" D: Y- ?; v9 I4 H- U( K
3、強(qiáng)行修改注冊(cè)表并劫持COOKIES:
/ K- L9 \; \7 e) y' k/ I" }0 @' ]5 H( S: r
安裝新版Windows優(yōu)化大師后��,會(huì)在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software�����,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符,下同)����,同時(shí),修改注冊(cè)表以下兩項(xiàng): / [9 m4 _$ S. x$ r% _, n9 N- y
5 G1 M2 D- j' O HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies " x' l' l- p' q9 z/ f
* h' o& R( g/ A2 }6 s
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
/ C; F' i6 ]: ^5 L% e
# j3 F$ ~. i! R4 q9 f I 為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat 8 K, B- Y( H: \- X% E0 C
) ^' t+ n1 v; e4 g- r& z/ ?# P
此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺(tái)偷偷鏈接某些不明網(wǎng)站的行徑�����,掩飾那些不停生成����、快速增長的cookies文件��,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾��,只不過��,因?yàn)榧夹g(shù)人員的一時(shí)馬虎����,忘了將最外層的Software文件夾也加上“隱藏”屬性,才暴露無遺…… 8 @+ K6 y t1 C& ^" f6 Q- F9 V* ]
8 i7 N7 H' S P
4�����、APIHOOK:
; I/ q/ g1 [8 [: z0 [
, Y* u) s6 S0 P% D4 l1 l9 N0 r 安裝新版優(yōu)化大師后,會(huì)將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊���。
+ Z% D. v V I- r
, r) w* ]* L% |! U( S* x' T+ P 此項(xiàng)為網(wǎng)友反饋���,因筆者水平有限,對(duì)此不甚了解�����,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息��,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)��。 ; T5 l0 z6 I0 E2 _
0 o/ r. [+ A3 x& X 至此��,真相大白……
+ \# F: E( f8 p: L! G, h8 o! ]# j* D" S3 H8 l; k/ {! x# m' F2 e
我們?cè)賮韽?fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下�����,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行���,侵犯用戶合法權(quán)益的軟件��,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外��。其具有如下特點(diǎn):強(qiáng)制安裝����、難以卸載、瀏覽器劫持�、廣告彈出、惡意收集用戶信息����、惡意卸載�、惡意捆綁等。 : z/ h _: j0 }' b
+ y) \7 y1 c; J4 \- U/ n 由此定義�,對(duì)比新版優(yōu)化大師的行徑,相信大家自會(huì)有所明斷�����。 7 Y, z# l7 u1 s- n9 J1 N
* q- D* U2 x. K+ J 在CNBETA發(fā)文之后����,優(yōu)化大師官方迅速推出了V7.93.9.305版本,將游戲大廳修改為安裝可選項(xiàng)��,但據(jù)網(wǎng)友反饋�����,其篡改搜索引擎的行徑卻依舊故我,其它幾項(xiàng)暫未做檢測(cè)�����,故不加評(píng)論����。 9 W: g6 W5 R! n) Y. {8 A
8 Z5 q& `5 Z9 W
因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng),故在此提出簡(jiǎn)單修復(fù)解決辦法�,僅供參考
" `) d7 N, @6 @$ L$ ]% T% v: H2 ]* Y8 }" z
當(dāng)然了,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~ / ]* |4 A% o4 D- |# i* L' x
6 X1 l" P# V7 {$ `8 @+ c$ ]6 X
針對(duì)前文所述4項(xiàng)內(nèi)容����,進(jìn)行以下修復(fù): * z: l; k, c9 C4 _) Q
* P, d C0 v! k 第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式; 8 X0 b7 |4 i; b- [! k
8 o7 Y$ i+ Q/ e 第2項(xiàng)可在卸載優(yōu)化大師后����,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對(duì)默認(rèn)搜索提供程序進(jìn)行的更改”),之后手動(dòng)清理注冊(cè)表以上所列項(xiàng)目�;
Q% H- v- i) p
1 O( l. m5 |% Y! U 第3項(xiàng)需修復(fù)注冊(cè)表以下兩項(xiàng):
y- ^, i6 _: y3 K) M2 ] F, G; _8 A# I, p3 s8 n' l) _2 f% O
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
+ Q* O" N6 O# b" ]
% I/ M2 G% t a+ ~2 e HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
2 u0 m! t: g/ D$ f3 s$ M
! h* F* I) d. s. D$ W VISTA、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies % q0 \- X9 ?2 |/ ^- L7 `
. D0 p! t+ h5 B4 }% ^9 o5 ~3 I XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies
" j j! S9 f5 g! k5 ?* J+ k, x8 B2 Q; t6 \0 T
重啟電腦后刪除所有盤符要目錄下的Software文件夾���;
/ G3 L- V5 b, k$ @) d0 J: ]
+ f. a8 B2 p2 {# K! M, { 第4項(xiàng)因筆者水平有限�����,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
