自優(yōu)化大師推出V7.93.9.303版本以后��,不少安裝此版本的用戶隨即發(fā)現(xiàn),自己的電腦中多了一些不明文件及程序��,并且搜索引擎被強(qiáng)行篡改��,隨即紛紛到優(yōu)化大師官方論壇提出問題���、尋求解答���。但眾多用戶的反映卻未收到官方任何回應(yīng),反而被一一刪帖�����。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文,引起各方關(guān)注���,官方才匆匆發(fā)出一個(gè)公告�����,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序�,對(duì)網(wǎng)友反應(yīng)的其它問題卻只字未提���。
+ R8 q3 G% ^. V Z5 F4 C6 W1 L7 p. a9 _) f% U$ d: }' P
做為多年的優(yōu)化大師使用者��,筆者也是第一時(shí)間趕到官方論壇�����,本著對(duì)優(yōu)化大師多年良好聲譽(yù)的信任�����,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法�,然而��,卻遭受到了刪貼、封IP��、鎖ID的待遇����。一個(gè)“優(yōu)秀”軟件的官方論壇竟然這樣對(duì)待用戶的意見反應(yīng),不禁令筆者疑竇叢生��,于是對(duì)此版本軟件進(jìn)行了詳盡測(cè)試�����,并參考一些網(wǎng)友的反饋��,得出結(jié)果令人大跌眼鏡�����。下面我們就來看看這個(gè)新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對(duì)用戶電腦進(jìn)行“優(yōu)化”的:
% J7 c8 `. ]- h& [. K" y2 x2 d5 Y
+ ? J1 X9 B% L8 n1 D2 S 1�、強(qiáng)制安裝GAMEHALL游戲大廳:
5 {" u. h' _5 F
4 z# P3 \1 E0 V5 u1 Q! J# X! _! N6 q 默認(rèn)安裝在C:\ProgramFiles\GAMEHALL���,并在開始菜單添加快捷方式���。 9 |- z3 F: m6 z
6 ?/ D5 ^2 d2 ~' P 2�����、強(qiáng)制添加并篡改IE搜索引擎: 9 C, Y! t4 g v$ n5 Z& \' D& u
9 T9 C) z; h3 d$ L4 Z* d8 K7 R 安裝新版Windows優(yōu)化大師后�,即使不選擇任何設(shè)置����,系統(tǒng)注冊(cè)表會(huì)被修改,添加和修改的內(nèi)容如下(此項(xiàng)內(nèi)容引用網(wǎng)友評(píng)測(cè)): 1 g8 t; j F$ v
v6 O( m+ t2 G4 w1 `1 d9 t1 _ [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search]
9 i" o! @; g8 c- P$ K! g1 O( T+ d& B
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" $ G; F! u, z$ V
9 S2 l) X- A. n9 G \$ V
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" 1 u: _4 m! R% u) ~
/ P( f/ K6 D y
[HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
6 h: N4 V" A* S# ~
* ~0 b+ M, o p/ z. d. v6 N "Masters"="0F0F0F0F"
3 x& I/ P F( w/ o5 P/ G' l- s/ W, s+ _8 E$ P
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll"
, T7 f2 y, K8 W' {- M$ M. e" p. M; s) c' j* S, Y$ D; I
"WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
o2 D9 n8 Y3 K- h% \2 f z* W0 p! H/ t; Q6 J- {
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes] 2 L' ^$ l7 b; l( {- e
2 e+ d6 M, q3 }+ D, y1 R
"DefaultScope"="Baidu"
- i0 ^) m" g: k3 {4 C' s8 R1 r' j0 U( @
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}] 0 J1 v4 ?7 {2 v; w8 M; p: a
. D& |& x9 H% S' q9 d2 \+ _ "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
5 o1 z S& y* ^/ s& K ]3 z/ t7 }1 _* t) m1 {
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu] 7 e% B7 {! B" `/ R2 O
. f5 d9 p# u% E4 V( F4 x. J
"Codepage"=dword:0000FDE9 # c" x2 P9 U4 @) U5 D
6 _# W1 v4 R' v8 A "DisplayName"="百度搜索" . A, D! ?! ^7 ]7 Z; h
: Z. o+ {; Q" F8 W* l4 {# o
"SortIndex"=dword:FFFFFFFD
$ O5 X" {6 R) B9 E% _2 W7 n0 ^9 I1 o& v( i% g7 l4 E8 \
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
( l2 T* F: v! ~# C B
% E7 V$ t7 A3 s [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google]
3 h6 G2 y8 u$ d# C z; d) i! E5 s/ F% e
"Codepage"=dword:000003A8
0 X1 h; B R9 @) g9 h$ t3 B5 c# S- ?$ q
& t' u6 N- _! j6 o( @! s! n; h- T "DisplayName"="谷歌搜索"
/ v) I# c* l7 R$ u) L! z. |) }" a7 T5 r- ?* k5 J
"SortIndex"=dword:FFFFFFFE
* h4 X6 d; [ S
( N7 `3 Z6 l) P5 z "URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
% o: V g4 L( s. d J1 U* n9 d
4 O( x: g, U6 C [HKEY_CURRENT_USER\Software\Microsoft\Windows] / f, D# P# _$ K( N9 }6 Q) S
) j1 a" a: O5 N& a "Verion"="0013E86C8919"
/ y9 B* ~; }- E# T
# N& [" ~% e% M9 f6 R: M% | [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections]
- J# Y9 h* g; h) a
8 j0 C& P* r: W/ [6 _' Y( W "SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ 6 }8 g g0 e& ]$ G" A, c' {; l
^8 t& `9 M) M3 e8 b" g 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\ ! t' l! P! ?' [% j2 L6 |
) A( d4 T( U/ N5 J! S: u 01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 ' N! [5 N- m: q+ V
2 F. S I: b% i+ \0 R2 R
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] 7 D* `0 ], ~' e: M; t# Q) }
4 n1 x3 R% ]" w# ~ "1803"=dword:00000001 3 |3 e# D& t7 s$ N
0 A: Z, P) Z+ V0 X) Y
同時(shí)中途可能會(huì)連接以下不明網(wǎng)址:
1 M' V/ Q7 C" c1 a9 S. ~2 P
# W1 W' y W; T0 a; h' L www.930930.com
% y8 @4 |1 c0 @+ t' e9 Y
- X! Y$ _) [8 \) T9 |# @4 s) n/ e www.304304.com ! l* [% H) D: W3 { F! h( ~
$ U9 k* |# P* i% D" u
www.072072.com 2 s: _2 N9 O) k$ B& n! Y
* n p. N5 G% d7 }5 p
072072.com 3 x) u- G& n6 V
/ q/ ^& g1 x- U1 S3 E O
www.146146.com
+ B5 c; u( u1 U6 G) S2 u
1 S+ L1 n2 x) g 146146.com
- |4 W" w" R# h$ I5 n
U8 `. {' J5 V0 o 397397.com
8 a4 C. q% J% j- y( U
1 d/ g: J* d6 C5 Y3 I- `9 L3 r/ w( v 265.com 9 ~0 w' B& |9 i4 t, z J4 \
/ O6 s x: ^, S( G liveupdate.baidu101.com
7 e. P3 G0 U% _
! l* y7 a' |' C3 S; U v. P% n 3���、強(qiáng)行修改注冊(cè)表并劫持COOKIES:
: x3 s- v0 l; z: Z% b* e1 D
2 ~! L4 v" R& ?8 q V' @* ~ 安裝新版Windows優(yōu)化大師后��,會(huì)在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software���,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符,下同)����,同時(shí),修改注冊(cè)表以下兩項(xiàng):
, O" N* k3 h% r# ?; v- M
9 N1 U7 Z& m" L: j HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 5 ?+ N' }" Y6 i* e; F9 q
% m# I# t* j+ A4 T+ u
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
5 s% M) w- j* b) S/ Q" e- q; ~6 a4 w( P7 Y8 s& y6 d* Y+ G# G
為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat # _7 G: ~* ]+ h
1 \; w0 r' U& @: ? 此項(xiàng)內(nèi)容的目的正是為了隱藏其在后臺(tái)偷偷鏈接某些不明網(wǎng)站的行徑��,掩飾那些不停生成�����、快速增長(zhǎng)的cookies文件,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾����,只不過,因?yàn)榧夹g(shù)人員的一時(shí)馬虎���,忘了將最外層的Software文件夾也加上“隱藏”屬性��,才暴露無遺…… % i9 x8 W6 x. l
2 T3 i1 C( o& A0 j# s7 R h
4����、APIHOOK:
) ~7 g5 r! ^3 g1 K, M% [ m; d& @% b& {+ K0 A1 h j, V
安裝新版優(yōu)化大師后���,會(huì)將系統(tǒng)入口點(diǎn)FindFirstFileExW掛鉤至0xB8ED3A26模塊�。
' `# Z% z: O9 M
( ^1 j b# {& ? R. h 此項(xiàng)為網(wǎng)友反饋��,因筆者水平有限���,對(duì)此不甚了解,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息��,還希望有技術(shù)高手繼續(xù)研究分析出其實(shí)質(zhì)�。
8 E$ \2 p2 p) J3 J4 m7 ~: g
7 _) L$ J0 n3 U; U G$ M 至此�����,真相大白…… : p; O- N' G# E& y0 K/ ?
6 V* d6 b, G2 ]3 D( i' R3 \7 Z
我們?cè)賮韽?fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下�,在用戶計(jì)算機(jī)或其他終端上安裝運(yùn)行����,侵犯用戶合法權(quán)益的軟件,但已被我國(guó)現(xiàn)有法律法規(guī)規(guī)定的計(jì)算機(jī)病毒除外��。其具有如下特點(diǎn):強(qiáng)制安裝�、難以卸載、瀏覽器劫持�、廣告彈出、惡意收集用戶信息�、惡意卸載、惡意捆綁等����。
( @; G! ~6 p: A m' G3 v5 n/ O) z) C7 W N. Q6 K
由此定義,對(duì)比新版優(yōu)化大師的行徑�,相信大家自會(huì)有所明斷。
' v2 h! x2 q/ q4 F- [# R" ?2 n0 k; u3 }: Z. Q' S% e
在CNBETA發(fā)文之后�����,優(yōu)化大師官方迅速推出了V7.93.9.305版本,將游戲大廳修改為安裝可選項(xiàng)��,但據(jù)網(wǎng)友反饋�����,其篡改搜索引擎的行徑卻依舊故我����,其它幾項(xiàng)暫未做檢測(cè),故不加評(píng)論���。 # w1 t7 {: x5 X
H `1 b6 M$ [+ C' B; Z 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng)���,故在此提出簡(jiǎn)單修復(fù)解決辦法,僅供參考 4 R; ]" e m/ ]* H: h6 r
) W* ~, r$ i& m* D9 p6 Z4 Q
當(dāng)然了���,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~ ) ]% k$ m' a" f7 N" ?6 M
' a2 n. c) i( u M6 h& R9 }
針對(duì)前文所述4項(xiàng)內(nèi)容��,進(jìn)行以下修復(fù): 6 M' |. X4 h0 F0 _9 Y. I
8 `- M2 n+ D2 b 第1項(xiàng)可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式����; ! g1 G k" r1 j: ]( Q4 b3 f
7 |- x4 N7 v+ c, B# G) N 第2項(xiàng)可在卸載優(yōu)化大師后,在IE的INTERNET選項(xiàng)中自行修改(WIN7系統(tǒng)最好同時(shí)勾選“阻止程序建議對(duì)默認(rèn)搜索提供程序進(jìn)行的更改”)�����,之后手動(dòng)清理注冊(cè)表以上所列項(xiàng)目�; : n) {8 b& E+ h N
8 f( `& o- _% J+ h 第3項(xiàng)需修復(fù)注冊(cè)表以下兩項(xiàng): ' p! x5 n$ c: a" k- ~, ]: E+ F
8 @1 d8 a% w5 x/ g/ z
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
8 h2 J0 @- L. v& k" o
2 ]8 L) w+ k2 [) } HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 2 l1 ^% r' V# Q0 Q
5 c, l4 H% k# s8 [. l. t/ p VISTA�����、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
2 N; \! L6 p7 Z0 |2 w1 P8 i, R" X7 H& n, s
XP下將兩項(xiàng)分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies
: M! o' @0 G0 n9 F- {
, U' y2 P9 Z. W& m- m7 w 重啟電腦后刪除所有盤符要目錄下的Software文件夾��;
9 O, ?. q2 B, n, y( K6 T( @$ e
% [* t- ~" z' C% w- R- z [& h. Q 第4項(xiàng)因筆者水平有限�����,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
