自優(yōu)化大師推出V7.93.9.303版本以后�,不少安裝此版本的用戶隨即發(fā)現(xiàn)�,自己的電腦中多了一些不明文件及程序,并且搜索引擎被強(qiáng)行篡改�,隨即紛紛到優(yōu)化大師官方論壇提出問題、尋求解答��。但眾多用戶的反映卻未收到官方任何回應(yīng)���,反而被一一刪帖�。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文,引起各方關(guān)注��,官方才匆匆發(fā)出一個(gè)公告�,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序,對(duì)網(wǎng)友反應(yīng)的其它問題卻只字未提�。 0 I# f$ d4 E. B' c
; |, l: O, g& h! h a8 y) q 做為多年的優(yōu)化大師使用者,筆者也是第一時(shí)間趕到官方論壇����,本著對(duì)優(yōu)化大師多年良好聲譽(yù)的信任,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法����,然而,卻遭受到了刪貼�����、封IP��、鎖ID的待遇��。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對(duì)待用戶的意見反應(yīng)����,不禁令筆者疑竇叢生�����,于是對(duì)此版本軟件進(jìn)行了詳盡測(cè)試�����,并參考一些網(wǎng)友的反饋�,得出結(jié)果令人大跌眼鏡�����。下面我們就來看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對(duì)用戶電腦進(jìn)行“優(yōu)化”的:
M# \! l, E$ b! {* ^
3 a: e& Q6 L+ C) X$ i. i2 ^ I% _" Z- v 1�����、強(qiáng)制安裝GAMEHALL游戲大廳: ^1 Z$ Y( T ~. j" L# h0 q
' C: ^4 k' i7 }% Z- M: _& j 默認(rèn)安裝在C:\ProgramFiles\GAMEHALL�,并在開始菜單添加快捷方式���。
& }# L7 g2 z3 C# e" n6 V1 f5 g1 x# ^
2�、強(qiáng)制添加并篡改IE搜索引擎: 8 u0 M0 M: \( a5 L
) c4 K+ R" v& {5 i3 E. t
安裝新版Windows優(yōu)化大師后��,即使不選擇任何設(shè)置,系統(tǒng)注冊(cè)表會(huì)被修改�,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評(píng)測(cè)): \. e) o1 D. @
5 d* ]( j! |# q$ Z2 } [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search] $ a2 b4 S- D: [
+ k& S2 ^& J% L' }9 C
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg"
. e1 T/ V* L5 V& {( A1 f s M( ]
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
4 ^5 W$ c. |$ l; _/ x) S) f
- g/ \) L- g A- m# E [HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
7 P/ B8 V1 N1 c" `& y! x4 e( u6 G: P1 S( D
"Masters"="0F0F0F0F" 8 X1 W% U" }3 Y! ]+ a
6 Q! x# Y& e7 f4 T* D8 V "WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll"
0 {" q! x' a8 @+ n2 X1 w* i& F% h; @
"WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe" ! J* P/ Y$ N( V+ z8 g
$ i2 g: L( ^6 V+ a b# _ [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes] " s8 F8 @: C% ?! @6 T
0 I% T! q2 j" f7 c5 F$ O8 p
"DefaultScope"="Baidu" 1 z. y0 ?& v) A
! W$ t! O2 c) y5 r [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}] ! L {0 c# ]( O
: v2 E, [# F$ ?* ^( y' @& f4 D "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 9 c# R5 Y ~! Q( ^1 r6 _6 r
4 D. n7 Y9 v7 d [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu]
% B5 O+ n( n- J0 U5 J$ [
1 }3 y2 V z2 m "Codepage"=dword:0000FDE9
1 x8 r/ o1 Z3 E8 m3 G# [4 c& C# v
4 n% q r" g% U H# j "DisplayName"="百度搜索" 0 B8 b% ?" J% Y/ p5 M* Z8 e
: G! @7 ~9 ~% C7 k; L "SortIndex"=dword:FFFFFFFD & x# k$ D$ m6 U5 {& A: `& T
" }9 }1 T6 x# ^( `, ^ "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 1 R, u+ W( ~0 C1 _
, ~, \3 v& v5 H' @ [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] ! _/ |0 U1 ~( v# @& q/ F
, @9 q: f; ?6 W4 @8 c/ }! w4 V- K
"Codepage"=dword:000003A8
A" K2 C3 d# {4 I4 R) S- c! `* Z4 _( h- t, Q, w
"DisplayName"="谷歌搜索"
# ~0 w- K4 p- B6 w
3 N# b& Y$ ]3 _0 H3 }* q "SortIndex"=dword:FFFFFFFE E8 l; \/ H3 l7 H* h$ b
0 y ^3 ^/ l V2 a1 M5 a8 J1 Q$ t
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=" * e3 U; U4 \/ \6 S/ l( E
7 l: D: X8 l7 P [HKEY_CURRENT_USER\Software\Microsoft\Windows] . {5 e6 n" N6 }* N o
. v! Q7 y, ?7 f `5 V) w "Verion"="0013E86C8919" # j& [5 ]. `' P
' U. R& p/ w8 j. Q6 B* k/ Z [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections] / a! Y7 I- X" b4 h5 A
) i5 _! X5 s {( C+ {$ @
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
2 `6 ?6 Z% C6 }, [* Y: ], m* n' U$ b; b8 P. y! E
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
9 I b# h( E) E! l i7 X( C* M
. |( b4 w+ W% `4 H0 a, J3 Z! ` 01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 . i+ S6 X/ K" a8 r2 l3 _7 w3 \
' N7 t$ H/ j8 U6 v# L' z* p
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3]
' r/ ]! N9 [* t: ^
3 P0 ?0 D* u6 P; P7 Z/ I! E8 I! C "1803"=dword:00000001
0 Q6 }# e: P8 Y8 q1 |4 Z8 w* R7 t, c6 e" |2 o
同時(shí)中途可能會(huì)連接以下不明網(wǎng)址: i' w" a) V4 |9 R0 {6 V. \
/ o, y8 `# T- A: G0 \" ?0 L$ v2 ^
www.930930.com ( R7 I5 c1 W$ q0 C [
4 L. T7 @4 H* C6 h1 L www.304304.com 9 l" b0 }" u0 m& C6 T1 |. r
( e% R- V2 j0 L; H( R" P0 A/ x www.072072.com
& G+ m% s8 [) Z" d
8 I- g* q9 Y$ Y$ J) f, W 072072.com 5 C# ] J- T( M) k. ^' G8 d
S8 W [1 [$ |1 X$ M- `, E* G4 r www.146146.com % A5 h8 C1 [+ u1 o) L
; E0 E4 _' I$ a" Z
146146.com 3 q7 D8 i5 Y; }/ z' M
: z& |0 X9 Z$ ]. l7 A. V
397397.com ! j* V8 |: Z/ L2 z3 o
+ ^0 h% X" K8 H0 O( s8 i7 Z3 a
265.com
2 e( W0 O; H, @/ n8 g/ V! J
/ Y6 o. m4 B4 c liveupdate.baidu101.com
4 p7 v/ W8 N4 R7 b; S* w- c6 K ~ Y f
3、強(qiáng)行修改注冊(cè)表并劫持COOKIES: 9 B: v# P2 g ~; `
* }# i, u+ @, C, o* {* F6 Y- J 安裝新版Windows優(yōu)化大師后�����,會(huì)在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software����,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符,下同)�,同時(shí),修改注冊(cè)表以下兩項(xiàng):
* m: q5 t$ _; k& Q# }
" e. d ?" R, x& h HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
q! ?" K7 \% {" c* b1 x& I+ |; j* j' N! P
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies * |8 W' P& L8 \! w0 `# k5 m$ R
$ ?2 c6 h9 R* b 為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat
" K% [. I+ ?# ?; V
- j* K$ a7 P* k# x( L5 ~ 此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺(tái)偷偷鏈接某些不明網(wǎng)站的行徑���,掩飾那些不停生成���、快速增長(zhǎng)的cookies文件,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾�����,只不過�,因?yàn)榧夹g(shù)人員的一時(shí)馬虎,忘了將最外層的Software文件夾也加上“隱藏”屬性���,才暴露無遺……
% I Y2 H2 A7 B* _) r3 N9 B
! |6 o+ }0 ]& P) ^ 4���、APIHOOK:
1 K$ w. e2 p1 J0 m8 D6 ~( ~( X* C* Y& W; x+ a" Q
安裝新版優(yōu)化大師后��,會(huì)將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊�����。 ; |: O# ]. d7 W) l5 f
1 Q! |8 y! u1 m3 H9 D4 X x
此項(xiàng)為網(wǎng)友反饋��,因筆者水平有限����,對(duì)此不甚了解�����,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息���,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)。
- u I/ R8 z9 i) e9 b- Z) `% w) o" A9 ^( s5 W: O0 d% c
至此��,真相大白……
9 ` Y/ [ N) G! J6 u: C
! z7 R1 h7 `9 Y1 H; a8 }1 }% i 我們?cè)賮韽?fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下����,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行�����,侵犯用戶合法權(quán)益的軟件���,但已被我國(guó)現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外。其具有如下特點(diǎn):強(qiáng)制安裝��、難以卸載�、瀏覽器劫持、廣告彈出�、惡意收集用戶信息、惡意卸載�、惡意捆綁等。 7 x! B8 J% a- ]
% g9 p, s4 Y O+ Z3 p& L V5 L 由此定義�,對(duì)比新版優(yōu)化大師的行徑,相信大家自會(huì)有所明斷����。 ( i1 e9 |* H. \! F2 n+ z m
1 X/ Y0 \. Y" U2 q
在CNBETA發(fā)文之后,優(yōu)化大師官方迅速推出了V7.93.9.305版本�����,將游戲大廳修改為安裝可選項(xiàng),但據(jù)網(wǎng)友反饋����,其篡改搜索引擎的行徑卻依舊故我,其它幾項(xiàng)暫未做檢測(cè)�����,故不加評(píng)論����。
" @( T g( q3 g. w! a! W) B
! Z/ k* s$ S* `; N 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng),故在此提出簡(jiǎn)單修復(fù)解決辦法�,僅供參考 : P! `4 e/ C9 s6 K8 ~
4 A3 h7 H: u/ q, t0 W4 D 當(dāng)然了,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~
) l& s4 w4 N* u4 E( b
7 y2 b( m- v; @ z. g% C! u 針對(duì)前文所述4項(xiàng)內(nèi)容�,進(jìn)行以下修復(fù):
% d3 I3 c1 {: J
1 F9 g# f& A1 |4 H! k! D( c 第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式;
0 ?- w$ L0 y% ]8 v# S
; f2 Y! D5 q% c 第2項(xiàng)可在卸載優(yōu)化大師后���,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對(duì)默認(rèn)搜索提供程序進(jìn)行的更改”),之后手動(dòng)清理注冊(cè)表以上所列項(xiàng)目����; 2 K4 P J* _, o1 [& ?9 l5 m+ a7 Q
8 g* k* [) j8 J F$ N 第3項(xiàng)需修復(fù)注冊(cè)表以下兩項(xiàng): + n: }) p! o- H% V, t8 u1 |- \
m! H- O' }9 E
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
0 d; F* w2 ^% C V' a9 m8 R1 Y* ]6 K' ?$ Q" b
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
2 e7 Y$ k* H2 c h6 H. T
$ P; O9 b* w h$ G& l VISTA、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
% d B- D0 ]/ Y
* n( p5 m% ~: w0 C XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies
: k' N( B3 W! K$ P
0 ~9 @8 ?- ^7 E7 j, t8 Z 重啟電腦后刪除所有盤符要目錄下的Software文件夾����; ' o# d+ V( t! k- \% y) A
! `" w& K+ H8 @' k" Y9 E
第4項(xiàng)因筆者水平有限�����,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
