自優(yōu)化大師推出V7.93.9.303版本以后�����,不少安裝此版本的用戶隨即發(fā)現(xiàn)��,自己的電腦中多了一些不明文件及程序����,并且搜索引擎被強行篡改,隨即紛紛到優(yōu)化大師官方論壇提出問題���、尋求解答���。但眾多用戶的反映卻未收到官方任何回應�����,反而被一一刪帖�����。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強制百度搜索添加可疑文件優(yōu)化大師全面轉型流氓大師”一文��,引起各方關注��,官方才匆匆發(fā)出一個公告��,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序���,對網(wǎng)友反應的其它問題卻只字未提�����。 0 Q. y6 l4 A. o" q5 E! Y, t; [6 A
, g' F: K1 Y& V( @. W1 N9 a 做為多年的優(yōu)化大師使用者�����,筆者也是第一時間趕到官方論壇,本著對優(yōu)化大師多年良好聲譽的信任�����,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法��,然而��,卻遭受到了刪貼�、封IP、鎖ID的待遇����。一個“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應,不禁令筆者疑竇叢生�,于是對此版本軟件進行了詳盡測試,并參考一些網(wǎng)友的反饋�,得出結果令人大跌眼鏡。下面我們就來看看這個新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進行“優(yōu)化”的:
8 u, v0 N( q, P1 v4 z) o6 L
l6 k1 i1 K3 n B ]3 s 1�、強制安裝GAMEHALL游戲大廳:
. ?3 k' i" m4 H* z& s: T# I
' p; N q5 l0 v9 N' t$ } 默認安裝在C:\ProgramFiles\GAMEHALL,并在開始菜單添加快捷方式����。
1 T( [: E. x4 Q* ~# N
3 v' |$ r) x0 c# i9 e1 g! \5 S$ { 2���、強制添加并篡改IE搜索引擎: 8 a1 T8 Y1 i; D5 E
9 _ b6 B* Z) t( Q 安裝新版Windows優(yōu)化大師后,即使不選擇任何設置�����,系統(tǒng)注冊表會被修改��,添加和修改的內(nèi)容如下(此項內(nèi)容引用網(wǎng)友評測): , i; G8 U( Z; S: P. k& _6 _3 r* Z
6 X2 _. n6 k" T$ G3 g" X9 \! m, Q& n1 p k [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search] 0 E! b& n( Q. F1 \5 n7 d4 d1 u
( B8 X1 z& Q' f* L+ F1 R! Q5 M0 ~ "CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" + _, `( U v: X5 G' M$ Z( |
/ f/ z4 e. ?! }% _
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
, Y9 H S, F+ Y; u( l- o5 I# c
8 ^- ?2 {& B0 n" d. E4 Y [HKEY_LOCAL_MACHINE\SOFTWARE\Wom] + E( q6 ]+ l* e; _8 _
4 x; ^6 E3 i5 }8 Y3 d* E: [
"Masters"="0F0F0F0F"
/ S$ y1 i. A: v4 c& I' X# O% a/ h1 F7 G/ {% ~3 H! U/ ~& K
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" * e8 n& F4 ?+ m" s" l9 A# ^; O$ ?
4 V& |/ [2 K0 M6 ~3 t
"WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
* Z" o% g% l- e3 f; a
% |6 Y( g$ M3 l) |( h ~+ l [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
, Y) I# y2 Q, O5 b1 @
3 K# J$ s. Z6 f. V0 [ "DefaultScope"="Baidu" 9 i- R; ~- c9 m1 I# F: {
. q6 B9 r; V- y# i) A- @4 u# y
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}] / f# x" e1 L/ t$ m& E+ z9 |) ^
, d0 o) E2 u/ j$ c* Q
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" h' ? ]9 r* K$ V9 e( T \
, u1 ^$ T7 M) k0 a7 X [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] $ \0 R; W5 ~& w' Z6 t8 S; |4 S! I
9 \; Y# q# Y( e7 q; U- S' K1 R
"Codepage"=dword:0000FDE9 8 |/ j7 O$ i: T1 L" G
: `6 ^# Q7 Z& o, c
"DisplayName"="百度搜索"
' Y1 m8 X) M3 Z: w, H2 G0 s2 F: c2 @; U
"SortIndex"=dword:FFFFFFFD 4 |& ~. b0 T0 v( v" h* g
0 R" L( Q/ `5 C "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" & e" A' f; I5 |, H$ \
% Q0 `7 O0 W2 W! X, p8 T( l
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] & \% L' o+ h) l4 F
. C; S8 c# b: _9 R6 w( n. w4 W "Codepage"=dword:000003A8
: \- d' v6 H* d( u3 n8 h) o0 d Z( g! r/ u% E+ \; V
"DisplayName"="谷歌搜索" ) q) H9 Q: c' U: [% J
, T. v; u: Q* n! E
"SortIndex"=dword:FFFFFFFE $ e6 m9 u6 `5 M& B
; t) L; F" n5 G _6 t$ t9 z "URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=" # J9 a+ v4 ~: [) z
J( E' T- H3 F8 D) _
[HKEY_CURRENT_USER\Software\Microsoft\Windows] 2 f2 H5 O3 V/ Y; v, X2 k+ V
9 q5 D. u/ N# t" J; U. C "Verion"="0013E86C8919" : C& G, _+ _- U3 P& m9 U4 }
, w( w' w2 A7 f- g( D
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections]
6 m7 e5 R2 P4 h: H! i6 m& f3 O$ T
, F& q3 ^+ [: |6 _ "SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
' Q# B' u& o, D, ^# F d* [5 {' C- l( X
6 |6 l2 d6 R9 I 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
/ G' w- j- J7 X" M* w+ Q: f5 ?0 D* w& _* j
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
! Y8 \! D& Q! m4 }2 C1 U, _* D
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] 7 Q0 m3 Z& f3 [3 L; G- [# n' D' v
9 u) l d+ C% N* ~ "1803"=dword:00000001
% p1 T) m; p5 U1 F
, Y2 t' y& m/ D0 g; S5 r; c. n 同時中途可能會連接以下不明網(wǎng)址:
1 G6 |5 D6 O/ ]8 f& N1 m1 q* T8 y
. X+ e8 n3 O4 u8 K) B. B9 j www.930930.com - @( `1 R' D/ ` ^1 b4 _3 q7 t# ~
) d- f v1 J4 w/ Q1 Z) V h
www.304304.com
0 T# w" u& W; h; G. t
# @0 p) ^( q; p) U8 v www.072072.com
; y$ @/ ?+ |: }8 V! O: i! m* x- w- U$ J& {$ }% M. ~
072072.com 7 d* K2 ~+ j$ d1 z; L ?. T0 Q; X
* }6 j. ~% t% }7 M4 I
www.146146.com
% n9 Y- x4 F4 c; L. X6 J: `5 x6 Y/ y8 c/ n
146146.com
4 F4 G( f9 t1 f; D( d ^4 I2 N9 ]4 x; t
397397.com 4 x0 w( t1 \2 p7 M
: ^ z6 ~# [1 R |, m, o9 D
265.com
% v2 i; G% ] T& D
7 i0 I3 N# i* T7 W liveupdate.baidu101.com . t' E( \# \( Y
, Q, }+ k' ?4 B6 p$ I8 l+ q; `
3���、強行修改注冊表并劫持COOKIES: 8 Y0 R8 ^. f( o/ q: c2 P
% M: s1 |% g' A, A$ K% L! y
安裝新版Windows優(yōu)化大師后����,會在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software��,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符���,下同)�,同時�����,修改注冊表以下兩項: % T+ |, c( \. W r- v _
; P+ _/ h4 `' Q6 E: g; Q" U# H
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 0 n- C, X' G& T3 S# {3 ~+ o
6 r1 w2 n) I( C( [ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
! L6 B: n9 R( U0 S0 `* F
& r7 ], \$ ~! I( p0 H9 L+ v5 ` t3 E 為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat 5 m: _$ N7 ~- f8 o
9 \, m# {- U. N 此項內(nèi)容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網(wǎng)站的行徑�,掩飾那些不停生成、快速增長的cookies文件����,而強行將用戶COOKIES劫持到新生成的Software文件夾,只不過��,因為技術人員的一時馬虎���,忘了將最外層的Software文件夾也加上“隱藏”屬性����,才暴露無遺……
" C) u1 ^1 S- c) V# N/ N7 C3 M$ d- o( |9 ?' m
4��、APIHOOK:
8 P& a+ E5 U- ^! u1 i3 x* o0 K/ O$ F, R/ u( w
安裝新版優(yōu)化大師后�����,會將系統(tǒng)入口點FindFirstFileExW掛鉤至0xB8ED3A26模塊����。 Z U1 Q/ G" ~7 T9 B/ X3 `7 j+ f
( @$ K' \, _* J2 ~
此項為網(wǎng)友反饋,因筆者水平有限�,對此不甚了解,搜索網(wǎng)絡也未見有相關模塊信息,還希望有技術高手繼續(xù)研究分析出其實質����。
: t8 d2 i3 |! w/ s% x/ i5 |8 m+ Q0 k8 d$ l4 h6 d* G+ Y5 I* O) d+ l; s( n" j
至此,真相大白…… 5 L( D! `2 O( Y* `2 e
0 D8 j3 I) J0 L5 e, { 我們再來復習一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下���,在用戶計算機或其他終端上安裝運行���,侵犯用戶合法權益的軟件,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計算機病毒除外�。其具有如下特點:強制安裝、難以卸載�、瀏覽器劫持、廣告彈出�����、惡意收集用戶信息��、惡意卸載�����、惡意捆綁等��。
0 \, X8 `9 J7 b; e! k1 [6 f% z. o8 z% e4 S' P# z$ C; m$ y; w9 m/ l
由此定義,對比新版優(yōu)化大師的行徑����,相信大家自會有所明斷�����。
) I8 v% J* `8 ]+ D9 Q K+ {7 f4 c! d3 }0 K" H
在CNBETA發(fā)文之后����,優(yōu)化大師官方迅速推出了V7.93.9.305版本,將游戲大廳修改為安裝可選項���,但據(jù)網(wǎng)友反饋���,其篡改搜索引擎的行徑卻依舊故我,其它幾項暫未做檢測��,故不加評論���。
4 ?6 N- J: {2 |0 j: |& h3 B* P
: M# [$ `9 A, O1 b 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復被篡改的系統(tǒng)���,故在此提出簡單修復解決辦法�����,僅供參考 / O: b- G' p. i( x6 h# a! U' _% s' W& B" c
; b- I0 [3 F$ ~7 v4 A 當然了����,修復的前提是先卸載掉此版本優(yōu)化大師~~ 6 e3 x. @( ?7 b3 Y5 T
5 s! l$ G' G3 B5 }4 b" F
針對前文所述4項內(nèi)容�����,進行以下修復: ' j7 F( z$ {& v0 t, E7 s
# Y0 g6 ~( Q0 _% Q% Z/ G/ q* W
第1項可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式�����;
' m( w- {3 `4 R. C% J! z
! e/ J. ~! ~' i. i& @8 L 第2項可在卸載優(yōu)化大師后����,在IE的INTERNET選項中自行修改(WIN7系統(tǒng)最好同時勾選“阻止程序建議對默認搜索提供程序進行的更改”),之后手動清理注冊表以上所列項目�����;
( C* l+ K T5 j0 C. g( d0 { d! ]% s3 C% E" l& H
第3項需修復注冊表以下兩項:
- S, l0 Q0 B* Q% S# m8 c6 \+ @
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
% H6 b! v. ^ j8 H+ ~6 g) D# z0 q- y4 z6 Y, z, m# A
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 2 G, h/ d0 c) b1 E3 R
+ ^0 u6 w" C$ j0 k5 I
VISTA�、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies ) s2 N0 y, }. M/ t. N/ D
( c: p, E6 a- w! d' I0 M/ c' P XP下將兩項分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies
! s, t) B5 k7 i5 d$ b& h" ?) i- V% k/ m" m9 V
重啟電腦后刪除所有盤符要目錄下的Software文件夾; + \$ n( o/ k! s" B& U
# n, ~. m5 l$ O( i# x 第4項因筆者水平有限�����,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
