自優(yōu)化大師推出V7.93.9.303版本以后����,不少安裝此版本的用戶隨即發(fā)現(xiàn),自己的電腦中多了一些不明文件及程序����,并且搜索引擎被強行篡改����,隨即紛紛到優(yōu)化大師官方論壇提出問題����、尋求解答�。但眾多用戶的反映卻未收到官方任何回應(yīng),反而被一一刪帖��。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文����,引起各方關(guān)注,官方才匆匆發(fā)出一個公告���,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序����,對網(wǎng)友反應(yīng)的其它問題卻只字未提�。 0 H( u, T( |% o
+ b- |% N" l' k
做為多年的優(yōu)化大師使用者,筆者也是第一時間趕到官方論壇����,本著對優(yōu)化大師多年良好聲譽的信任,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法��,然而����,卻遭受到了刪貼����、封IP����、鎖ID的待遇。一個“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應(yīng)�����,不禁令筆者疑竇叢生�����,于是對此版本軟件進行了詳盡測試�����,并參考一些網(wǎng)友的反饋����,得出結(jié)果令人大跌眼鏡。下面我們就來看看這個新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進行“優(yōu)化”的:
: B+ @/ `. `$ ]. f
2 F; u( w. \) ~* R3 t 1���、強制安裝GAMEHALL游戲大廳: 0 w6 L4 m Q( z: n3 m- ?
* o8 C& y3 {( n+ q- _/ ]& ]& n$ Q ~ 默認安裝在C:\ProgramFiles\GAMEHALL����,并在開始菜單添加快捷方式��。 " g9 w: @6 U# y
, p. w( ~9 k6 x* M9 z( }
2���、強制添加并篡改IE搜索引擎: 4 h5 [1 V: F: \* e1 R
' \& Z- I& k/ v% N# N5 x3 d 安裝新版Windows優(yōu)化大師后�,即使不選擇任何設(shè)置����,系統(tǒng)注冊表會被修改,添加和修改的內(nèi)容如下(此項內(nèi)容引用網(wǎng)友評測): , b* F8 S8 n! i
8 C: r1 A& _' a [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search] . W7 j+ f" u) ^0 H; J/ h% T+ u
; q% {8 M' e% ^! d8 M G
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" 9 E6 _$ w8 `" o4 K. S: R9 U
; V9 b( j8 }# ?2 p
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
) m0 m! z6 R( z7 H+ F5 ]2 o5 j- Z( P8 V" i4 B
[HKEY_LOCAL_MACHINE\SOFTWARE\Wom] 6 r( }3 L9 w# ? U0 `; N
' l1 A# l3 V% N/ ^# v% o+ q
"Masters"="0F0F0F0F"
, Q& |2 B" B, B' b2 O+ s3 W
$ C6 L% H0 r% ^3 f "WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" ( n% l+ U* Z5 @ [3 D, z
7 N/ s1 |+ N7 w% d9 p2 z T, I "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
! x/ C; S/ O" g- y3 a7 A' N6 |2 h
9 G: ]. `2 i! f3 f: S+ J [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes] 6 r" i. r1 e! M( ^8 Q9 n: j
, {# [7 ]$ `0 \7 i" h
"DefaultScope"="Baidu"
. T; T# Y; L! ^: d" i5 U1 V
' ?& H! [/ {7 @: G& A/ c [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
# J' ?' R4 n3 I
! N5 I" x! C1 h "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 1 Q- p! X8 C- F9 _$ ?* s
2 H+ ], g, w8 H& a. F7 M' Y$ E \
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu]
2 i1 C- \/ a3 E, ~
! @: I2 g* N( u" a( L "Codepage"=dword:0000FDE9
" }/ f6 f; W8 q- e4 o' t% v
d k0 Z) d/ { "DisplayName"="百度搜索" , O3 n/ p4 d0 H
n9 ]% w6 p$ l4 c [7 }2 k
"SortIndex"=dword:FFFFFFFD ' U& [9 V+ L1 p" ~5 z: @
- x: z5 G0 ~( b+ l" ^$ h "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" ' E3 c1 {. r8 L M9 ^% t) _9 h
0 ~+ k* h+ c Y. i, T
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] 7 v7 E& T. v$ u0 |5 n
( o2 X' P2 R1 X; k/ y# X y$ ~8 x' u "Codepage"=dword:000003A8 : F+ M# ^$ q9 L6 D) d# A
. {& N4 J8 E2 @ "DisplayName"="谷歌搜索" - u5 c8 X' O+ G( v- X. i2 C3 a
9 X* w. Z0 d2 P3 U$ \! \ "SortIndex"=dword:FFFFFFFE $ p4 G! {; v. m# H5 |& `' }
. e1 b5 e0 T9 y& x( i
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=" ) p4 @7 J8 [! A( N
2 K @& A1 g, a5 _7 e; x% K' e
[HKEY_CURRENT_USER\Software\Microsoft\Windows] : k! k$ f: M9 f7 {- e% O0 W) H
/ m, v6 G [ I& a
"Verion"="0013E86C8919" ' h/ p% T$ [5 J$ D
7 P6 `- ]- X& w1 e0 a I) T! z [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections]
) g; ]9 n( o1 e( a6 d
1 n( N* J0 Q; }; t9 i2 C! K "SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
0 k3 K2 H5 [- g+ @+ R& f8 \9 r. ]
) G- w! {' H2 A0 Y7 C7 R" f 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
# t% L1 y# @) E' v- c0 O. r, i1 i" J# M) y( V) k6 Y8 n4 D, P! ~
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 2 G' o3 d' x3 I" H: j9 `. ?+ b
; w' b: ?9 [" V3 O& Y `3 l% O) i
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] ) A4 b0 c5 t! t. z* A3 p6 k0 m
8 v$ _9 S$ s4 A1 U
"1803"=dword:00000001
% ^1 d- p. @% W# l- n2 J) ]! e P; T' J
同時中途可能會連接以下不明網(wǎng)址: 1 G+ b! z& v: X7 b6 ?# y
& z' r, r7 `# U6 ? www.930930.com
% P' C$ Y% Y' z1 S% R! I E
" G2 q9 \) w" c1 L www.304304.com . d5 c- K6 N. W: b) J7 ?/ y
7 f" u# e5 Y. m- _1 C
www.072072.com
. U$ i1 K& u5 K
, z; r Y9 G1 A$ _ 072072.com
% T0 F1 k# Q. P- h" ?8 V r/ m S6 a2 G4 f c
www.146146.com - n* B# o$ }) v( v. e% [1 s8 e( G
; l) e3 s- n; P* I$ A S 146146.com
" P& _/ Y6 D) {) K% O' Z6 J) v! R, o4 }. B1 |; `
397397.com 1 A/ Q& G+ d; Z7 y
; _/ H( f" ?0 U5 Z 265.com
- f/ S) _2 V1 Q/ c$ V4 E
+ p8 u$ B, ]9 a9 G( q+ L" }/ k7 F liveupdate.baidu101.com
' f h' u+ N- n# T I G/ ?
, \. w6 f3 Z, V4 f 3����、強行修改注冊表并劫持COOKIES: 3 p O- E+ Q- J. _
/ C$ Y* K" G8 w$ f
安裝新版Windows優(yōu)化大師后,會在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software��,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符����,下同),同時��,修改注冊表以下兩項: ! V% g2 l. f8 B
; Z) x4 z5 v' j/ ^) e# M HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 8 w8 g2 ~2 n( @( i. K
+ E$ k8 k7 c0 q- ~ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
9 T4 `! h9 c& G! J0 d6 q8 M$ Q: D
為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat , w& e8 k; e5 c6 |% N/ J
h0 x5 y) ~1 `' |' c! A$ M. p
此項內(nèi)容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網(wǎng)站的行徑,掩飾那些不停生成��、快速增長的cookies文件�,而強行將用戶COOKIES劫持到新生成的Software文件夾,只不過�����,因為技術(shù)人員的一時馬虎����,忘了將最外層的Software文件夾也加上“隱藏”屬性,才暴露無遺……
2 Q7 L+ Q- `4 K+ i. s+ ]" c4 K3 x3 _* f' d& c! K
4�、APIHOOK:
' T9 X1 s3 h3 G" m" A3 t
, P% P( a: A1 G+ `( A 安裝新版優(yōu)化大師后,會將系統(tǒng)入口點FindFirstFileExW掛鉤至0xB8ED3A26模塊����。
& Z% f; G b# Z% Q: U9 H+ Q: \( h9 o+ S. L% h8 C
此項為網(wǎng)友反饋,因筆者水平有限�����,對此不甚了解����,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息�����,還希望有技術(shù)高手繼續(xù)研究分析出其實質(zhì)。
$ m8 G. j2 d9 c* }6 W: C- t" R8 P3 q9 K; n1 W# b
至此�����,真相大白……
|" O# `. B8 ?0 f" v2 P1 }) O% v! ~4 @
我們再來復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下����,在用戶計算機或其他終端上安裝運行,侵犯用戶合法權(quán)益的軟件�����,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計算機病毒除外����。其具有如下特點:強制安裝、難以卸載�、瀏覽器劫持、廣告彈出�����、惡意收集用戶信息、惡意卸載�����、惡意捆綁等��。 $ A4 o$ v5 x2 t E& T) r
7 [; S" K, D$ D/ V5 r: Q 由此定義����,對比新版優(yōu)化大師的行徑,相信大家自會有所明斷����。 ; \& g; Q. X+ Q9 D$ O' @
4 P# Y7 n, z( o/ ]& V/ z# V 在CNBETA發(fā)文之后,優(yōu)化大師官方迅速推出了V7.93.9.305版本����,將游戲大廳修改為安裝可選項,但據(jù)網(wǎng)友反饋�����,其篡改搜索引擎的行徑卻依舊故我�,其它幾項暫未做檢測�����,故不加評論����。
2 A$ L4 D6 i# m( A( _4 H
+ Z3 w( D. k# F( j: ]% g8 I 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng)����,故在此提出簡單修復(fù)解決辦法�,僅供參考
- D4 E8 D( n7 z9 w2 k
& o( J9 a* i/ [1 ` 當(dāng)然了,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~
6 o5 ?$ I5 O% o5 F
$ M" i9 U& `! h, w" _9 I- ?' B% L1 R 針對前文所述4項內(nèi)容����,進行以下修復(fù): : W, B, z" Z' \+ t r3 _/ }: B
6 l; T$ L2 C' U$ |
第1項可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式;
- p7 j, C9 `& B4 b. O) F, H0 f
3 w9 n" z2 O- M+ i2 [+ M- A 第2項可在卸載優(yōu)化大師后���,在IE的INTERNET選項中自行修改(WIN7系統(tǒng)最好同時勾選“阻止程序建議對默認搜索提供程序進行的更改”)�,之后手動清理注冊表以上所列項目��; + b N% v, H% s% v+ c Z4 B S1 m
9 M4 z" Z3 ?5 L" C( h' H0 i+ `& ~
第3項需修復(fù)注冊表以下兩項: % {1 e! E! B/ s1 i
( }) T6 x2 k! M2 S K HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies - d/ \7 n ?# X0 ~
- Z( y) ~ _% ^9 U7 Q, G' \ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 7 a2 g: W1 g8 M* {4 k1 l! y7 G
. R- _* z8 D t+ {4 Y( `% ^# e
VISTA���、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies 4 a3 v0 y3 g4 w$ V
) [% \0 F! d" M, w2 N5 {
XP下將兩項分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies
|/ y' c* E- [1 n& y' M6 Q# z" e% s5 H; ~
重啟電腦后刪除所有盤符要目錄下的Software文件夾�; : q2 e# l" n) J# W8 p+ V7 H4 |+ I( c
4 K- }( m0 g, K5 k# U/ ` 第4項因筆者水平有限,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
