自優(yōu)化大師推出V7.93.9.303版本以后�,不少安裝此版本的用戶隨即發(fā)現(xiàn),自己的電腦中多了一些不明文件及程序�,并且搜索引擎被強(qiáng)行篡改,隨即紛紛到優(yōu)化大師官方論壇提出問題�、尋求解答。但眾多用戶的反映卻未收到官方任何回應(yīng)�,反而被一一刪帖。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文���,引起各方關(guān)注�,官方才匆匆發(fā)出一個(gè)公告�����,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序,對(duì)網(wǎng)友反應(yīng)的其它問題卻只字未提�。
( q$ Z* w1 K7 \+ V }: o1 Z1 b) }1 ?4 |' ~* @
做為多年的優(yōu)化大師使用者,筆者也是第一時(shí)間趕到官方論壇����,本著對(duì)優(yōu)化大師多年良好聲譽(yù)的信任���,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法�,然而��,卻遭受到了刪貼�����、封IP、鎖ID的待遇��。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對(duì)待用戶的意見反應(yīng),不禁令筆者疑竇叢生��,于是對(duì)此版本軟件進(jìn)行了詳盡測(cè)試���,并參考一些網(wǎng)友的反饋����,得出結(jié)果令人大跌眼鏡���。下面我們就來看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對(duì)用戶電腦進(jìn)行“優(yōu)化”的: , m* t7 `" G. B+ e, k7 Z) G
0 t9 }* o& `+ ?& ^0 R) t 1��、強(qiáng)制安裝GAMEHALL游戲大廳: : y9 Y' s$ u" F0 ]" [, Z! U
0 ?3 Q/ Q6 t7 Y \' b$ s3 r 默認(rèn)安裝在C:\ProgramFiles\GAMEHALL�,并在開始菜單添加快捷方式��。
2 _- D f: m6 d* q7 w# u, ^8 ]
0 I& d: ]1 M: k8 }3 ]( _ 2��、強(qiáng)制添加并篡改IE搜索引擎: ) _' C9 a/ Z: Y9 p7 R
/ z- F; ]9 Y* Z) \/ _2 h7 Y& @- b
安裝新版Windows優(yōu)化大師后,即使不選擇任何設(shè)置���,系統(tǒng)注冊(cè)表會(huì)被修改,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評(píng)測(cè)):
; c( E/ n/ m& p, L! O- g4 U0 b* \# Z! p; d% l2 U5 [
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search]
8 `& o _5 x+ W2 u2 D
5 m" Z" O' g8 H; u "CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" , q3 J9 f9 {0 u. a
5 z! z( h* r, k0 R3 p8 V/ d
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" & M, I O# T6 h- B# l% A
& u) u% A) A# c0 G5 I [HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
, I& R( ^$ M% u/ o/ Q% v+ @
B* K2 o+ y3 _ "Masters"="0F0F0F0F" + `9 z0 E$ d! E1 a8 {
, j9 d" m# d" h1 I1 P: `8 ?, i "WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll"
" Z( |2 c; y1 V5 ^. N$ u# H1 J7 A( ?1 D# R7 j, K$ u
"WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe" 4 \- u9 v$ ~4 s T# n* a
; g& q0 o: Z# M3 e3 t
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes] 2 ]. Q, R8 p$ P9 L B
' B2 D6 _/ v) I9 m0 W
"DefaultScope"="Baidu" - T/ d# Z- R! `' q. ?7 d
, Q" ]5 W1 d8 e( i. |$ N [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
: p7 E( f! N/ I5 Y; _6 ]* t3 _% Y# b: _& |1 ~
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
. W6 ~) J! ]8 l
# `9 g8 F& [# Z: `' G& b [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] . c( F; e% v; q1 a# b- u5 e) s
& e+ V; ~9 k' O& [2 z9 l& t: M "Codepage"=dword:0000FDE9 + C( o5 _9 ?1 ? i3 \
! F) \2 x: _- j( j3 P
"DisplayName"="百度搜索"
; {: i' n6 C' u1 D L3 q! g5 s3 y
0 `, n) }5 n4 E% b6 g' | "SortIndex"=dword:FFFFFFFD $ e, h7 N8 O/ _2 k' Y; Y
; G2 H i# @, H' r
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" / |3 r( J4 E4 A- f7 V
2 E8 B( ]$ y" y5 \0 k
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] S% A( S f! { C
3 }( b+ m; q8 Z5 H9 @& j: ]! s
"Codepage"=dword:000003A8
; m" k3 [9 H7 X4 M
) z; V6 {! Z/ ]$ }) R4 E "DisplayName"="谷歌搜索" ' x5 G: h( F3 z; d( G
; o. t* `& `7 B! l "SortIndex"=dword:FFFFFFFE
+ a5 B2 G8 w1 J4 c& Q; Y* M; @$ N. \. _% M
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
# Q* [3 ~; }$ ^0 E
: G0 T. X' y% S& f [HKEY_CURRENT_USER\Software\Microsoft\Windows]
, t+ d( b) P) Z9 k
5 D9 M! E$ Y. Z' M+ H# Z9 | "Verion"="0013E86C8919"
' b+ w0 E# q3 v# K9 F' E
( c. i8 w) s4 s: Y2 K8 d# `% U6 N [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections]
; U- Y- j5 U9 U: N. Y2 e' Y6 n$ ~3 E! `' r* b& Q" Z7 l u
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
7 Q2 i g% G! Y w( b1 `, Z- _) P8 s
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\ * b, w+ S& T, s |$ V- l
h2 Y9 K4 }- L* B. V
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 & Z! t5 \, E, K( R# {
: T$ g9 S; {2 d/ i- q* _' Q& s ` [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] $ ]- }6 N, p! N! n7 |
0 T! X% m- b# m
"1803"=dword:00000001
: I) z. v! a/ a- [! q: ^' k: f4 }! E- d# Z4 t/ h9 n
同時(shí)中途可能會(huì)連接以下不明網(wǎng)址: * ^0 j. e6 s- h2 |% T
: j" y! A7 x6 Z& X
www.930930.com : `* T- k6 Z2 F( A
& `7 w3 e- V5 w* w7 { www.304304.com
9 M, y+ O: z& a& u9 h% X6 C8 F
- W5 f$ P' v: h www.072072.com
4 M5 K1 l7 j r3 e7 c1 W' T5 K
6 |) l# {" ^: Y# | 072072.com
* K9 ~% [% b* U% e: h2 W3 A3 G+ `( q8 H# P
www.146146.com
/ B: Q: m; B* r R$ B6 z$ w4 ~" g# ^! I7 B! Q
146146.com ( z6 z' E+ `0 E" t
$ ~/ B( r$ O3 x% K/ \; t2 L2 P; V
397397.com ~) d- h u4 e, j) F7 y; k
+ u. t' u, S" x N1 ? 265.com ' A) q; e( y# J" z/ p
2 B/ I" H. a: T9 A D
liveupdate.baidu101.com
: W. A' b1 U- l$ {' F0 L4 T3 G* n: q/ h0 h
3�、強(qiáng)行修改注冊(cè)表并劫持COOKIES:
) @. l* f6 I. \* w
0 Z5 r6 K/ M% h7 r% [ 安裝新版Windows優(yōu)化大師后,會(huì)在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符����,下同)���,同時(shí)�,修改注冊(cè)表以下兩項(xiàng): . }7 R4 n* `+ z# x, Q
4 X9 K2 g5 ]4 j% N* ] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies # k1 Y7 X5 o1 y8 d; f/ P: k
* _2 m- l9 W& P( N& d HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 9 E) ?8 o7 T. o, |% y$ d
/ G1 b* D3 K& C& P
為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat
7 t2 t9 X8 X' R6 X* h
+ T) I) @3 R* W& r5 q. s; R 此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺(tái)偷偷鏈接某些不明網(wǎng)站的行徑��,掩飾那些不停生成、快速增長(zhǎng)的cookies文件�����,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾���,只不過�,因?yàn)榧夹g(shù)人員的一時(shí)馬虎�,忘了將最外層的Software文件夾也加上“隱藏”屬性,才暴露無遺……
3 {/ t. \, @' h' y6 ^% Z- s0 U" ]' M& y8 h
4�、APIHOOK:
% U2 k8 A2 ^" M5 O3 g* ], V' q6 |* O: I5 u* s, m% g, A
安裝新版優(yōu)化大師后�����,會(huì)將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊。 3 }6 i( p7 a( \% N* f! Y
, b: f: ?8 y+ y* a
此項(xiàng)為網(wǎng)友反饋���,因筆者水平有限�,對(duì)此不甚了解�,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息�,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)。
1 @. J5 }* ]. Q1 `) _" K3 O. t8 k {
至此�,真相大白……
w5 z( J/ x5 L0 |: _; }. x
/ V# I k) v- S# o 我們?cè)賮韽?fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下�����,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行,侵犯用戶合法權(quán)益的軟件,但已被我國(guó)現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外��。其具有如下特點(diǎn):強(qiáng)制安裝、難以卸載���、瀏覽器劫持�、廣告彈出、惡意收集用戶信息、惡意卸載、惡意捆綁等����。 . C5 t3 p# |- V! d0 ~2 [+ L% G6 @
" y1 |$ r/ ?# D3 E# c. N
由此定義,對(duì)比新版優(yōu)化大師的行徑����,相信大家自會(huì)有所明斷���。 ! P" |& }( a; ?1 k" X
. S% Z3 w; ?4 ~! v N7 s, o 在CNBETA發(fā)文之后�,優(yōu)化大師官方迅速推出了V7.93.9.305版本�����,將游戲大廳修改為安裝可選項(xiàng)�����,但據(jù)網(wǎng)友反饋,其篡改搜索引擎的行徑卻依舊故我�,其它幾項(xiàng)暫未做檢測(cè),故不加評(píng)論。
$ a$ l* M6 D" Q, m2 D% C
4 n, Z# J7 I- w# ~' P" K 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng)�,故在此提出簡(jiǎn)單修復(fù)解決辦法����,僅供參考 . Q/ B, X4 h2 Z# o" O3 R
( A" x) d: a9 V( d; | 當(dāng)然了��,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~
+ x8 m! g3 D& Q; f7 k9 G1 A
* {4 i3 t* m1 T3 x4 C& V4 I 針對(duì)前文所述4項(xiàng)內(nèi)容����,進(jìn)行以下修復(fù):
( q/ P0 k( m9 r+ X
6 b! ]0 ? `; ~ 第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式��;
( r8 u Z) x& X" p- |9 e5 V: v$ z5 d& A) B
第2項(xiàng)可在卸載優(yōu)化大師后,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對(duì)默認(rèn)搜索提供程序進(jìn)行的更改”)�����,之后手動(dòng)清理注冊(cè)表以上所列項(xiàng)目��; " W6 k: p: E5 l8 I& p
5 }3 p# N; q) s2 J G( P 第3項(xiàng)需修復(fù)注冊(cè)表以下兩項(xiàng):
8 [: {4 c6 \ Y2 J" |. Y" J& b* R8 Y, y% b- C( u2 c
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 6 Q- S% T0 }4 l
3 {. _! {6 A+ \! p HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
+ {: Z% l1 ?6 W) U ?
. s; k7 V8 |. M( t2 E# u! l1 M VISTA�����、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies 1 Q3 D6 }$ b; y, ]6 h- o+ ]
6 \" I, h) ~- w' y4 j XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies ! D5 M5 L' |! g# {# k9 j
% y w2 d, Z8 p/ L) y+ R
重啟電腦后刪除所有盤符要目錄下的Software文件夾; ' o7 N/ e l: C
. x* r2 g! L9 c- [
第4項(xiàng)因筆者水平有限���,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
