自優(yōu)化大師推出V7.93.9.303版本以后�,不少安裝此版本的用戶隨即發(fā)現(xiàn),自己的電腦中多了一些不明文件及程序���,并且搜索引擎被強(qiáng)行篡改��,隨即紛紛到優(yōu)化大師官方論壇提出問題����、尋求解答。但眾多用戶的反映卻未收到官方任何回應(yīng)����,反而被一一刪帖。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文��,引起各方關(guān)注��,官方才匆匆發(fā)出一個(gè)公告�����,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序���,對(duì)網(wǎng)友反應(yīng)的其它問題卻只字未提���。 - l1 J- j0 i( V9 [* O/ D$ {# b
6 o5 T/ u7 q+ b" f; ? r# I
做為多年的優(yōu)化大師使用者,筆者也是第一時(shí)間趕到官方論壇�,本著對(duì)優(yōu)化大師多年良好聲譽(yù)的信任,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法�����,然而,卻遭受到了刪貼����、封IP�����、鎖ID的待遇����。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對(duì)待用戶的意見反應(yīng),不禁令筆者疑竇叢生�����,于是對(duì)此版本軟件進(jìn)行了詳盡測(cè)試�,并參考一些網(wǎng)友的反饋,得出結(jié)果令人大跌眼鏡���。下面我們就來看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對(duì)用戶電腦進(jìn)行“優(yōu)化”的: 1 L: ~4 m/ p6 a$ d l% r K# T
0 H0 T9 Q* _; z Z- y3 t$ d$ ^
1���、強(qiáng)制安裝GAMEHALL游戲大廳:
& F. U8 l: w4 r
3 A) g3 Q1 H# Z% |3 k% ~3 o 默認(rèn)安裝在C:\ProgramFiles\GAMEHALL,并在開始菜單添加快捷方式�。
L* o% K$ w; b- P
9 e0 I9 ^9 N. s( M( s, | 2、強(qiáng)制添加并篡改IE搜索引擎: ! ^4 u7 N8 ~$ f: W0 i; t8 L7 o
8 K m/ x0 n# b% e D
安裝新版Windows優(yōu)化大師后,即使不選擇任何設(shè)置��,系統(tǒng)注冊(cè)表會(huì)被修改���,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評(píng)測(cè)): : v! j: M" P) F, `- ]* x! `2 b: d3 J
9 }6 @2 n8 i k" h. D( j5 E$ S8 t
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search] $ J2 x7 i# `0 @
$ K% n4 Z. J: K% w; m: [* l "CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg"
5 [9 i1 W. G6 \2 I
9 H1 X, |4 ?& a) P "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" 6 E4 T4 S8 O" d% z
t+ V2 L6 E! z" U5 \4 M) x
[HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
3 Y- Y% k) g: M. W3 }4 \9 H* K1 k5 C9 L3 T1 N1 ^
"Masters"="0F0F0F0F"
2 h, G8 }1 O; B: y2 H9 j8 M; z0 N3 W( s$ L
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll"
5 F4 `* E' F2 Y) z
7 L1 u- e$ k s- z "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe" 4 O |: D" Y9 c5 Z
& l# y6 [. Z% \: a" q! l; f
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes] / E1 G' ], x5 y: [: h2 U, g9 _
" @" j% t, o0 W1 G# z M" H! G$ n7 u4 A "DefaultScope"="Baidu"
1 Z( }7 r" q2 B V
7 k% t, c" X- Y2 u1 t! K [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}] $ j( ]! [" h- g; K& m+ D2 W! P
* f6 ~! G, \6 T* z2 M% e7 U6 i* S "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
6 e! T3 \/ X+ f# g
( z+ D8 [0 `3 t [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] . [8 j0 j! \4 U1 @* ^2 I% E
4 J4 N- ~3 E9 j' y" R/ g "Codepage"=dword:0000FDE9
0 e9 X" D3 Q. o: W0 v0 K' C( h, w' X/ G- d; Z+ h% `
"DisplayName"="百度搜索"
6 m5 a, e" `0 Y. r0 _3 s( k# ^/ X) L
- s( {' H5 b9 }4 C; |/ D "SortIndex"=dword:FFFFFFFD
8 d% h9 G6 P2 _6 C2 }; K; x1 _' l- A. r) R
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
) }( z; u% | q5 m% K w0 \8 N* _) u \5 y2 a
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] % `6 {0 ?5 M3 |( z1 [
/ w3 E1 y* C5 ^, t( l- Z8 i' B: q "Codepage"=dword:000003A8 - R% ^0 A, E6 P
! K$ z3 R5 e+ Y8 p- m1 o5 g; A) E "DisplayName"="谷歌搜索" : M# P0 |! o! x; K
, [' V8 L5 p; I: Z
"SortIndex"=dword:FFFFFFFE " ^2 T; ?3 t# ^
, L! ~( x5 p; |+ I: M3 _) X* }% M
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=" ' I- u( U9 d# T' ?
( |0 X) ]$ V) e, [" y, n [HKEY_CURRENT_USER\Software\Microsoft\Windows]
) u- [1 \- k+ i' d N5 N, j+ F. K9 \; Z: O" V; H
"Verion"="0013E86C8919"
' }2 J( Y8 r) u. V! ^8 Z0 J# f) G4 O2 t" [
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections]
" D" m) d, h) m
" L! E8 a6 } ~/ o& @' d "SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ ! e5 L/ Z, O3 X0 P
9 W0 E+ ~+ H* M9 ~. p. ? 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
, ~1 Z) K8 X2 @& B' h/ `% k6 d1 s: o6 C/ ^! h; @& h, i
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
' _2 z, w- ?8 a% L; r1 T( f8 y2 l
& h3 Y* k, P5 J' E1 W: a, P u& r [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3]
+ i5 l# I8 c) P6 [: a
u8 l8 W9 b" n! C& e8 ?1 t3 r( b% ^# Z "1803"=dword:00000001
* N# d. Q, U0 P6 M9 a' z9 U# k
+ F6 q, `4 y! t) j6 x4 J 同時(shí)中途可能會(huì)連接以下不明網(wǎng)址: 8 p' g& C( V" y4 l, O3 w$ f1 C+ m
4 P. e: M" A+ A L' @ www.930930.com . K7 _# W3 M3 S! ^/ ?( u9 `" d
, s7 {7 o U* T: `% o
www.304304.com ; Q" e& @' i( n1 Q" [4 [/ ?
) g: Y d: l) B F0 c+ E www.072072.com
8 }) U+ ^: h/ }5 B, |. {/ v- d( x& V: L) \
072072.com
: ]# Y% G# o& r+ D" l4 @0 C, t# }
& i/ L2 b7 [, o www.146146.com
# B; w: ^! E$ | q# S \: w; y. n' `+ o- {
3 s' U7 q! {: z4 f( w* Q 146146.com + N$ L* c! P1 l; B9 l( J6 I
# m2 P/ \$ x' K4 X! t
397397.com
2 n* M6 L2 t7 g4 J
" B7 ]( Z& Z1 k 265.com
& \+ { C: J* s/ A, s4 t9 N3 R* M6 O( @3 M% O3 O' e5 S8 w6 `
liveupdate.baidu101.com
. ]2 d: |* Q' Z2 y1 l4 p3 m
m; I# T& e( J% O4 d4 L 3��、強(qiáng)行修改注冊(cè)表并劫持COOKIES:
/ `) _9 O( w" P) A: J- I& Q/ \0 b0 C8 t% A5 f. G
安裝新版Windows優(yōu)化大師后����,會(huì)在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software����,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符,下同)�,同時(shí),修改注冊(cè)表以下兩項(xiàng): 5 l) c; m0 E' G( t& H$ }& g
7 U& C, j! B: h1 n7 y HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
+ Y5 B- a: b, Y" k8 u- B& X3 z# s1 p `* ?- {* o7 S% z- c
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies ) v4 W1 m# [: _% G
3 D0 d+ z& L6 S: m
為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat & \+ ~4 _! H! W9 n- \! o
* D8 R0 |8 ?3 I9 `+ q3 ~( K 此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺(tái)偷偷鏈接某些不明網(wǎng)站的行徑����,掩飾那些不停生成、快速增長(zhǎng)的cookies文件���,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾�,只不過��,因?yàn)榧夹g(shù)人員的一時(shí)馬虎,忘了將最外層的Software文件夾也加上“隱藏”屬性���,才暴露無遺…… + g4 o' V& j+ y
; {3 H, T/ p2 k' w
4���、APIHOOK:
7 q- @+ y' i( a V! v' T5 b5 N. w
! [1 ?6 f: |( U: @ 安裝新版優(yōu)化大師后,會(huì)將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊����。
( ~/ k3 P: d+ z$ X
0 n/ u2 _" B" N! k1 y } 此項(xiàng)為網(wǎng)友反饋���,因筆者水平有限�����,對(duì)此不甚了解����,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息�,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)。 6 s) Y8 W) |3 o9 R- D% Q
% |- A4 l- u; z- |0 j z
至此�����,真相大白…… 9 @& c3 Q3 `0 {% y
- E; I) F* x4 N+ T$ D4 X
我們?cè)賮韽?fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行����,侵犯用戶合法權(quán)益的軟件,但已被我國(guó)現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外�。其具有如下特點(diǎn):強(qiáng)制安裝、難以卸載�、瀏覽器劫持、廣告彈出��、惡意收集用戶信息���、惡意卸載���、惡意捆綁等。
" D, Z- \5 h; `" m1 o: {' e" _5 Y8 l R9 u0 y4 o* S" H
由此定義�����,對(duì)比新版優(yōu)化大師的行徑�����,相信大家自會(huì)有所明斷����。
/ D+ y. r, |4 M7 G0 q+ F
. O4 y/ [" I7 d& i" J3 c 在CNBETA發(fā)文之后���,優(yōu)化大師官方迅速推出了V7.93.9.305版本,將游戲大廳修改為安裝可選項(xiàng)��,但據(jù)網(wǎng)友反饋�,其篡改搜索引擎的行徑卻依舊故我,其它幾項(xiàng)暫未做檢測(cè)��,故不加評(píng)論���。
9 |* J ~" j6 ^; ?2 \' L% t5 _
! H+ R9 e, _$ e& d. g; R2 w. n. m 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng),故在此提出簡(jiǎn)單修復(fù)解決辦法���,僅供參考 : c$ i: _ a/ ? O9 N- {
, ?* C. p' M$ `! e" @6 @' ^ 當(dāng)然了�,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~
" J+ o% H! n# n9 u6 p# M
& L; Z2 q# P: z/ ` 針對(duì)前文所述4項(xiàng)內(nèi)容���,進(jìn)行以下修復(fù):
: N( k5 ~# c+ Y
* b1 |- T# T9 I8 Q 第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式�����;
4 A+ H9 s4 }" k- s5 Y$ T' [0 L8 x. x. N q: U4 @/ s' ?& _$ y* n1 }
第2項(xiàng)可在卸載優(yōu)化大師后��,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對(duì)默認(rèn)搜索提供程序進(jìn)行的更改”)�����,之后手動(dòng)清理注冊(cè)表以上所列項(xiàng)目��; 6 a r) @/ u1 \# ?6 f; v" Y
, \. H2 \( [9 B" _+ N
第3項(xiàng)需修復(fù)注冊(cè)表以下兩項(xiàng): 9 S: \2 f/ m4 G6 n1 J! X/ \/ \$ o5 D: }
3 N$ n8 R" F% V8 y0 ?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies # O: ~4 k. U. q* m# a3 M2 l8 L( z! O
; g4 d4 s7 u8 p+ F HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies d+ O* u! r9 g k/ b3 |* \
' j$ a, E q% r% \7 h' S6 F
VISTA����、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies " K8 K) [4 g) G# e7 p
/ ~1 ?( W' k& M! A3 t
XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies
1 k) S D4 T! c+ g- u/ J1 g( E4 D" w8 u1 l3 }: L/ ^
重啟電腦后刪除所有盤符要目錄下的Software文件夾;
/ g& t* f" _+ A+ N. |1 c# }' J, ]; M4 \$ z! J f5 E% i0 U$ ?" g
第4項(xiàng)因筆者水平有限���,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
