自優(yōu)化大師推出V7.93.9.303版本以后,不少安裝此版本的用戶隨即發(fā)現(xiàn)����,自己的電腦中多了一些不明文件及程序,并且搜索引擎被強行篡改,隨即紛紛到優(yōu)化大師官方論壇提出問題��、尋求解答���。但眾多用戶的反映卻未收到官方任何回應(yīng)���,反而被一一刪帖。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文���,引起各方關(guān)注���,官方才匆匆發(fā)出一個公告,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序����,對網(wǎng)友反應(yīng)的其它問題卻只字未提。
8 K2 H% B" O3 a9 _& l7 ]: s
' f: ^! z6 \- G# ^* T 做為多年的優(yōu)化大師使用者�,筆者也是第一時間趕到官方論壇,本著對優(yōu)化大師多年良好聲譽的信任����,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法,然而���,卻遭受到了刪貼�、封IP、鎖ID的待遇�。一個“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應(yīng),不禁令筆者疑竇叢生�,于是對此版本軟件進行了詳盡測試,并參考一些網(wǎng)友的反饋���,得出結(jié)果令人大跌眼鏡����。下面我們就來看看這個新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進行“優(yōu)化”的:
v+ @, \* W* B- g( b- ?/ X& e p6 h7 F' R7 V5 V& a
1�、強制安裝GAMEHALL游戲大廳:
5 k" f; l, K( [# K P$ z6 d: p" J- U8 k' Z* J
默認安裝在C:\ProgramFiles\GAMEHALL,并在開始菜單添加快捷方式���。
" j: }% D. t# P. q7 F c( O R7 a9 c2 u6 k6 T0 I8 r3 j. U% f
2、強制添加并篡改IE搜索引擎:
' l. y. D* S: ^) Y6 j. e8 h& O
W# B2 J. i5 v+ p" L 安裝新版Windows優(yōu)化大師后��,即使不選擇任何設(shè)置��,系統(tǒng)注冊表會被修改���,添加和修改的內(nèi)容如下(此項內(nèi)容引用網(wǎng)友評測): . ^/ ]6 T! a' N/ N& i( o$ V( N
9 P) A4 z) H0 u/ w. x4 w% u
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search]
4 c% x" D% @& Y# q% K- S- B( G* F H T6 F
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg"
; F2 |& X3 Q6 ?3 N5 ^4 V0 @1 f6 C8 o0 A( R }% Y5 K
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
) e) G; Z B; s
5 q) @% C* E7 C, P: Y$ c/ k [HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
! P8 s& k, a" ~" g8 y
& B0 l; f/ ~& ~; I$ w# |3 @ "Masters"="0F0F0F0F"
7 M6 y$ D) Y* I2 N5 g- F
& g; X8 X0 @$ n8 V6 ^: q/ v. x- y "WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" 5 S4 M" x2 f6 m+ f2 p$ A
9 z) a; s: w2 e8 w+ W, e "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
5 L% y. D: |) h- f2 }# @9 W8 d+ w9 }; i. e6 N# ?% x5 J. g
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
1 H* g6 l+ x0 Z1 V& E+ w1 m @3 @9 E- G/ v1 x% k, z
"DefaultScope"="Baidu"
9 Y: J3 f: j. ]- u% F7 h
: F4 s& i R$ i9 ]5 m# y [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
7 i$ `$ }+ y) Y3 E, F* x6 a" V x5 R3 A" h
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
2 k4 X$ Q9 d$ b3 N: E3 u- Q7 E, _$ k' @8 f$ y! M3 }4 q
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] % i/ o5 z! U* h
, j% e1 d9 a' f% \
"Codepage"=dword:0000FDE9 / v" U" x' z: a& W
* r$ d( M" P8 ~ "DisplayName"="百度搜索"
0 P. e+ Z) Z1 T: Y1 R, S/ }
V- O$ E5 Y+ d0 r6 J "SortIndex"=dword:FFFFFFFD
2 n+ D2 M! T2 b2 O
. `' X' J& V& Q. p; F* I "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
. I1 s, @. o( w* W0 Y! t @# Z4 ?. F3 P0 ?) N
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google]
, B' j+ H1 d2 x% J. ^1 n3 H) K. z2 C# l$ _/ m
"Codepage"=dword:000003A8 + ?, u- ?& H' Y3 ]1 g
/ B- `, v* |; c2 ^) y# w+ x
"DisplayName"="谷歌搜索"
. E8 x2 f" f/ c* a& x
# n' z5 T, c7 W7 @ y# @- q "SortIndex"=dword:FFFFFFFE " L! D. Q% r& D/ F: G
# H% b! v- v& O
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
) [9 E/ k) n6 y7 Y# R C. X+ c8 E+ n: \2 t. e0 Z* V
[HKEY_CURRENT_USER\Software\Microsoft\Windows]
- S% Q- {3 h2 ~9 M" B9 f; g/ Q, G0 E& H! D
"Verion"="0013E86C8919" * P* q P; q3 O+ _2 s% @3 d1 _) M$ k
4 N5 c5 Y" y" b
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections] 1 Q+ q+ E2 f6 X7 F
2 n, p# L( L2 b
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ ( i+ u Q* E' c2 ]2 m$ j) |
6 j& X4 g I% `! g* ~$ O" [
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\ + @7 x- Q" @& ~/ l8 D) X0 a5 a6 I
( v% i$ e/ E5 Y& p7 o) D3 E$ a( h 01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
& T$ \$ T- `2 X- g
$ q+ m/ b( A7 l8 ?0 ^ [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] + N. R5 l* K( j S4 m/ R
# Z0 o* T$ z! \. R9 \" D i
"1803"=dword:00000001
' _! M( d8 I3 n" J% F& B/ J
! i% a K5 E6 ^; c 同時中途可能會連接以下不明網(wǎng)址:
9 C6 _4 H4 E2 h8 Y. b# h O& b( @" L' G8 e; y
www.930930.com
# d' ?( x2 k0 ?) Q+ ?" K5 H2 W0 B* }% q) o8 `8 c$ k
www.304304.com
9 W. t( m3 W4 w" b3 @( q5 W! ?. I% q! S
www.072072.com b) J6 H# H8 ?/ g0 x5 v, h4 I
! S& T1 }7 ^' S% d2 F 072072.com * A: |+ H3 p! {' y- o0 `& \) Z+ N
, t6 }9 f) A1 f. i. U2 M9 H" i- ?) a www.146146.com
( q+ u& v# G6 H& H9 i0 D, N6 a. H" u/ t& G
146146.com
/ u9 v( ^! d5 }4 X/ m8 q0 s- ?) E9 w+ E9 Z- m4 o
397397.com
4 J4 l7 a$ T* o; c3 r. e1 K" [/ a9 i
265.com
; p$ b0 v! e8 {: J( p/ X: Q1 x) g) _& d/ l( A; |) A0 \6 H4 b3 r
liveupdate.baidu101.com 0 Z8 y* C6 n$ q
' h7 l% K" z/ y
3����、強行修改注冊表并劫持COOKIES:
4 k K4 O9 L6 Y; S! r! i) W& `* I5 k$ r6 _6 O
安裝新版Windows優(yōu)化大師后,會在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software���,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符���,下同),同時���,修改注冊表以下兩項:
2 ]. V$ Y( Y* S, g) h) ~/ L8 }+ M& \) A7 }4 j2 ?6 k! d6 Z" }
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
1 C5 y$ P/ @. o8 Y! ^
! p! F4 J- s3 ?; v; { HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
, t7 C/ p' G9 e6 F0 p
/ y" L2 W8 S1 A$ e! k8 N 為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat 3 A6 X& b) t3 B
- D6 w3 o/ Z% L& \" N1 | 此項內(nèi)容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網(wǎng)站的行徑�����,掩飾那些不停生成�、快速增長的cookies文件����,而強行將用戶COOKIES劫持到新生成的Software文件夾,只不過���,因為技術(shù)人員的一時馬虎����,忘了將最外層的Software文件夾也加上“隱藏”屬性,才暴露無遺……
. R; U, ]; G# O9 ?3 i# v q; N
+ I/ Y9 L1 J' t* _2 A+ H% x0 d 4��、APIHOOK:
: w- o" h3 ?1 p
4 Q+ L, C! r% U9 {6 z8 T3 ?* v 安裝新版優(yōu)化大師后��,會將系統(tǒng)入口點FindFirstFileExW掛鉤至0xB8ED3A26模塊����。 5 M' R" ]) O: r' h/ f5 k
/ r8 K9 U" o& h! [9 C 此項為網(wǎng)友反饋,因筆者水平有限���,對此不甚了解�,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息�,還希望有技術(shù)高手繼續(xù)研究分析出其實質(zhì)。 2 Q. B( a+ {- x. h4 K, h5 F
8 Q; E+ n+ b* E
至此��,真相大白…… ' F" Y' E/ a S& z& b
" n; r' s3 C) a& g2 v H# m# T
我們再來復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下����,在用戶計算機或其他終端上安裝運行,侵犯用戶合法權(quán)益的軟件��,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計算機病毒除外����。其具有如下特點:強制安裝、難以卸載�、瀏覽器劫持、廣告彈出��、惡意收集用戶信息���、惡意卸載��、惡意捆綁等��。
( |$ i( L( _- |) a- _6 z1 x3 V% r9 Y, X8 n) k s+ F/ V
由此定義�����,對比新版優(yōu)化大師的行徑���,相信大家自會有所明斷。
5 n% p7 U, P; x. l) P% U
$ f+ y- K8 X Z$ W% V; t 在CNBETA發(fā)文之后���,優(yōu)化大師官方迅速推出了V7.93.9.305版本��,將游戲大廳修改為安裝可選項����,但據(jù)網(wǎng)友反饋,其篡改搜索引擎的行徑卻依舊故我���,其它幾項暫未做檢測�,故不加評論��。 / c* ^4 o1 {: ~- @7 j8 ?4 Q
; c4 P' Q. X4 V, i) j, A: b! k 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng)����,故在此提出簡單修復(fù)解決辦法,僅供參考 3 s/ ?0 e) `" c3 w9 p9 {7 ]
0 a- \5 l8 x3 ?- ~+ A 當(dāng)然了���,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~
# s/ ]+ R. J/ t' Z# g9 i" z. o; X2 t4 g/ ~ t: G
針對前文所述4項內(nèi)容����,進行以下修復(fù): % U8 ], L0 X# f j
9 E/ {# H3 L% u
第1項可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式��;
& h5 I" \7 {" T3 a5 h7 G, A
: M5 {) a. ` \8 F' f/ u8 x0 J 第2項可在卸載優(yōu)化大師后�,在IE的INTERNET選項中自行修改(WIN7系統(tǒng)最好同時勾選“阻止程序建議對默認搜索提供程序進行的更改”),之后手動清理注冊表以上所列項目�;
5 B& c5 q: J8 V8 T i) r
- e5 _; b e: _1 B# J 第3項需修復(fù)注冊表以下兩項:
% H! ^3 {, }$ I9 I) n# I( p
; w0 Z2 [% ~( z% S5 b, y' K' } HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies " S# D$ G2 y; i, N2 B& U W! @
0 _5 X$ c/ e5 X. t7 r0 j/ C% Z
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies : M( w4 a4 X) ]5 J. H; p
0 Z" x) y$ }: v* f- J VISTA、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
8 X( g8 T$ V9 O) O) R% w9 n' T& X5 f7 N4 K
XP下將兩項分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies $ [. }4 S0 N. ]: m( l9 h
- L( y" G# O, g; y/ t8 K3 E% J4 x 重啟電腦后刪除所有盤符要目錄下的Software文件夾�����; 3 E- `. J: N+ R8 l- l" y/ z
/ X" b, t* h5 X( Y; ?8 q' M
第4項因筆者水平有限����,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
