自優(yōu)化大師推出V7.93.9.303版本以后�,不少安裝此版本的用戶隨即發(fā)現(xiàn),自己的電腦中多了一些不明文件及程序���,并且搜索引擎被強(qiáng)行篡改���,隨即紛紛到優(yōu)化大師官方論壇提出問題、尋求解答����。但眾多用戶的反映卻未收到官方任何回應(yīng)�����,反而被一一刪帖����。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文,引起各方關(guān)注����,官方才匆匆發(fā)出一個公告���,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序,對網(wǎng)友反應(yīng)的其它問題卻只字未提���。 - ]% H E+ |, C9 B7 O; D
8 N9 G9 x& v9 l7 V: Y3 \1 J1 d 做為多年的優(yōu)化大師使用者�����,筆者也是第一時間趕到官方論壇���,本著對優(yōu)化大師多年良好聲譽(yù)的信任���,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法��,然而�����,卻遭受到了刪貼��、封IP���、鎖ID的待遇。一個“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應(yīng)�,不禁令筆者疑竇叢生,于是對此版本軟件進(jìn)行了詳盡測試��,并參考一些網(wǎng)友的反饋�����,得出結(jié)果令人大跌眼鏡�����。下面我們就來看看這個新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進(jìn)行“優(yōu)化”的: 5 r8 {+ }( g# ^: y
0 w7 a) e9 S& @9 o' N# m* N 1����、強(qiáng)制安裝GAMEHALL游戲大廳: - a0 R3 G4 _, d F
/ x0 e2 O8 R, y+ f( V 默認(rèn)安裝在C:\ProgramFiles\GAMEHALL,并在開始菜單添加快捷方式��。 5 E( X) } V, j7 ?1 S0 s% y
9 ^. S* y8 i- M. ]5 ]. H 2�����、強(qiáng)制添加并篡改IE搜索引擎:
& z% q0 t* {) Z: R
# V6 w1 R0 O W* Z0 J: p 安裝新版Windows優(yōu)化大師后,即使不選擇任何設(shè)置�,系統(tǒng)注冊表會被修改,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評測): 7 |6 C' F' e9 _
% R( ]* m* B' f& ^- n( m' _2 j
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search] / c) F7 j5 f# x% z/ s
2 `' V6 K2 C8 F3 s
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg"
. f% M* b) v, N' ?6 r. w. N2 Z. Q* ]: r6 U1 q* |
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
) U& s- a4 x+ l- x' ^" i) k! Z
4 m% }, J5 \5 l" V [HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
6 ^8 }3 X: F" N3 S5 E. K1 U1 ~( ?7 `, l* n
"Masters"="0F0F0F0F"
; M/ l4 ?( |/ d9 y' F3 x, n9 s" J% U% ^. L! ^
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" / I, \. K; |# E- h
" f) q4 b- r3 |3 |0 h) E: D2 @ "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe" & d$ X$ T2 g: @; j6 l; G7 f' H
4 q8 l; H3 B; N# L [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
1 Y* p2 b5 F/ l9 d) e/ r# e
" q' M, Y: c1 n. _6 e9 ^ "DefaultScope"="Baidu"
! u! b- B4 H5 M( Y2 A+ D
+ y. E, p) F) g7 U4 p6 A5 B [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}] 1 w0 j) |1 a2 L* z6 g
1 _+ g+ E `2 E' w3 t+ G "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" & i- D4 |( T* ?; z
; R0 r: c9 v8 o3 z
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu]
: k( g; l' ] I
8 \/ C7 n% \3 G j* u "Codepage"=dword:0000FDE9 0 M( V( z; O3 m2 i* N
. }" k) E" H' X4 M9 i+ d
"DisplayName"="百度搜索"
9 S* _5 N: h Y; u
! s& Y+ f; k; D0 c! ^. | "SortIndex"=dword:FFFFFFFD
& d# T4 L$ L) W2 u3 N
: B& ^7 [0 S0 ]/ A) ?! v" n4 }( { "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" + M9 s6 E) o0 P* F% p. L9 o
) X" U$ G% w m" T. J [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google]
6 P9 @ i# H3 v' s" [/ ~5 b7 { Y0 B8 L, ^' R J( y% X
"Codepage"=dword:000003A8 6 ]9 R4 Z9 N$ {: A+ k( n
0 t. Y# [& O9 P6 a+ t "DisplayName"="谷歌搜索"
+ W) B- g( l; ^
, S) l% c0 Y, j+ |3 n+ P# U "SortIndex"=dword:FFFFFFFE 0 O: J9 G) [! ^' L6 C: L
' v2 p& l9 I8 ]" K5 J/ X" L9 N' t% n
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
1 F; C; x& c! o* v ?! E& i# j8 m6 S& o& D2 [/ D
[HKEY_CURRENT_USER\Software\Microsoft\Windows] / j3 b+ Y9 [5 `8 n
2 v3 q% b' j/ u0 h
"Verion"="0013E86C8919"
. b7 ]# u0 p% T
e, C" D* |- @+ \7 K1 Y5 M2 E8 P* D [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections]
& l& u* d2 G- A0 h' h& ^
( W- v, y4 k( J# b) Q "SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ ( ~; z. g9 e7 N2 t) M1 C
& L0 _9 Y5 c; e4 E4 |
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
# L4 P7 D$ r' N, K$ V# I
: k3 U1 q, I4 F5 K1 l8 O, F$ X6 J2 s 01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
8 z/ s; b3 `& j* }
! e, U! k; H [, m4 W [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3]
; O7 l) r8 F9 v! w+ ]8 V' r7 ]9 _( X! A7 c$ R* t
"1803"=dword:00000001 7 n- ]5 K+ o) R7 p1 Z7 C% F* i
" t4 i% m, X, W, R. [
同時中途可能會連接以下不明網(wǎng)址:
$ \ z" l) [! J7 d$ m) j) d$ G; R6 ]4 E9 W0 d$ }
www.930930.com
4 _5 ]) }! m/ \% ?* V" B
4 r( E# r) R! ~+ g www.304304.com ' Q2 F4 b6 o+ V7 N& @
, v, H+ A' }/ a) R* s( m www.072072.com
* }- M# ?, i1 @) y& K( Z0 M
2 |8 }; W: f- _0 t5 a" [' X 072072.com
; r0 C1 Z6 ~' z) \0 Y- ]3 q' G; [. j3 h1 r
www.146146.com
/ `+ y) U+ I" e! `- r, g
0 z! s0 P9 S. z; j& s, b 146146.com : T+ v9 f& d0 g5 _8 J
1 Z' W+ A7 ~: Q 397397.com
2 |( h# b3 W- Y5 M5 B+ W; U
# L' p3 O9 t \1 _0 l. U5 N L+ | | 265.com
* E* f9 d; `8 p
& Q8 H# P" C* K, E% ` liveupdate.baidu101.com # ^, k# ~7 L, `7 u$ a8 Z9 i
1 g7 z4 w! I( D3 D" }
3����、強(qiáng)行修改注冊表并劫持COOKIES: , S0 S: a @) ~0 O
( u) Q0 B0 Z4 _/ J6 ^9 O# P; F+ }: z& S
安裝新版Windows優(yōu)化大師后,會在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software����,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符,下同)�����,同時��,修改注冊表以下兩項(xiàng):
+ E/ h, E. x' o, Z' N5 O$ j
) c9 b' J" ^% R8 C9 n( K; o- Z, w HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
* |* ]9 ?' X& T! `; [, O& ] a) t# E) |+ P5 [+ i* ^
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
+ B$ \0 u4 v% K% [. x( m
- v; \' U& s0 w' v, U 為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat ( n- V% W6 p% e& g) a- Y
5 Z t0 O' H. o% |+ J
此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網(wǎng)站的行徑�,掩飾那些不停生成、快速增長的cookies文件���,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾���,只不過����,因?yàn)榧夹g(shù)人員的一時馬虎�����,忘了將最外層的Software文件夾也加上“隱藏”屬性��,才暴露無遺……
3 b [% g; M+ E
1 R% Z8 o3 ?% W( @. p 4、APIHOOK: 7 g5 M& Y6 G1 J& e) u4 K
! w% [$ \1 T% x5 V
安裝新版優(yōu)化大師后��,會將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊���。 7 Z0 [; t S6 F$ C' ~
; C8 h1 D( Z' t
此項(xiàng)為網(wǎng)友反饋��,因筆者水平有限��,對此不甚了解���,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息����,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)�����。 1 O0 O( i- S# k5 q
4 U: |: B3 S8 E/ j+ V% [ 至此�����,真相大白……
2 f4 i* s! @0 A! ? a( \+ s Z* ~5 {
我們再來復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下�����,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行����,侵犯用戶合法權(quán)益的軟件����,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外�����。其具有如下特點(diǎn):強(qiáng)制安裝���、難以卸載����、瀏覽器劫持��、廣告彈出�、惡意收集用戶信息���、惡意卸載�����、惡意捆綁等�����。 & B$ T+ u% I/ @8 }1 {
& m) V" C' [; Z8 M8 D2 X6 E& M 由此定義�,對比新版優(yōu)化大師的行徑,相信大家自會有所明斷�����。 ' `) b( s& M( j3 y
- u- m' d) X# o' m( b5 f9 N8 Q 在CNBETA發(fā)文之后�����,優(yōu)化大師官方迅速推出了V7.93.9.305版本�����,將游戲大廳修改為安裝可選項(xiàng)�,但據(jù)網(wǎng)友反饋,其篡改搜索引擎的行徑卻依舊故我����,其它幾項(xiàng)暫未做檢測,故不加評論�����。 : L) K9 [4 s- x0 C$ Y
! T4 q/ Q: e9 M) |+ P' Z
因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng)�����,故在此提出簡單修復(fù)解決辦法,僅供參考 ; y$ w Z1 P% y0 M" X
4 }0 J; Y% ]) i
當(dāng)然了�����,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~
/ ^- |5 _/ T8 v. x5 y, U& C% S" i6 Z( I- J- i- e1 s# M8 v% o
針對前文所述4項(xiàng)內(nèi)容�����,進(jìn)行以下修復(fù):
* g- M( I; F8 B4 y$ A( s1 F
2 J- p* G' K' [" B. ]* t S 第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式�����; 1 ]- U$ ~# d! Z" v
4 T: i% i7 T V9 S2 Q; C 第2項(xiàng)可在卸載優(yōu)化大師后�����,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時勾選“阻止程序建議對默認(rèn)搜索提供程序進(jìn)行的更改”)���,之后手動清理注冊表以上所列項(xiàng)目; 5 Z+ o! Y. I, z8 r, o( K9 ]" u
# k. Y% K0 R! f6 K1 W
第3項(xiàng)需修復(fù)注冊表以下兩項(xiàng): $ M# W$ ~! D1 [& n/ V8 \& I& o
3 g. ^% _: m) `# C$ h
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 8 X; j! w) F4 f: M" B4 u+ p
0 f/ Y2 K! z+ {3 [3 s5 w% ] HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 2 Y7 s" W# m" M( S5 [
# ?# T3 d% o9 x4 c4 Q
VISTA��、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
5 w- c& r$ Z4 O8 g2 M1 u! x/ Y6 ~( J1 M- Q; G3 z% K
XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies 3 e3 m: Y: w+ \, ^
' l9 p8 @$ c# F6 U3 s* g2 U" [) ~
重啟電腦后刪除所有盤符要目錄下的Software文件夾�����;
6 F9 H# ~1 E) n) H9 h* A' Y( a" ~1 S, p% R9 A3 V
第4項(xiàng)因筆者水平有限,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
