自優(yōu)化大師推出V7.93.9.303版本以后��,不少安裝此版本的用戶隨即發(fā)現(xiàn)�,自己的電腦中多了一些不明文件及程序,并且搜索引擎被強行篡改�����,隨即紛紛到優(yōu)化大師官方論壇提出問題�、尋求解答。但眾多用戶的反映卻未收到官方任何回應(yīng)��,反而被一一刪帖��。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文��,引起各方關(guān)注���,官方才匆匆發(fā)出一個公告�,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序�,對網(wǎng)友反應(yīng)的其它問題卻只字未提。
0 I! j0 {3 U* B4 }* x$ K
1 R; x4 j* g! z8 L7 k 做為多年的優(yōu)化大師使用者�����,筆者也是第一時間趕到官方論壇�,本著對優(yōu)化大師多年良好聲譽的信任���,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法,然而���,卻遭受到了刪貼�����、封IP���、鎖ID的待遇。一個“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應(yīng)��,不禁令筆者疑竇叢生�,于是對此版本軟件進行了詳盡測試,并參考一些網(wǎng)友的反饋���,得出結(jié)果令人大跌眼鏡�。下面我們就來看看這個新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進行“優(yōu)化”的: 9 a) U7 Z+ e' e- z, i0 t
7 r! H5 ^7 t9 [" d4 u4 i2 T: U 1�、強制安裝GAMEHALL游戲大廳:
; H0 l) F' P. O3 r4 P2 A$ j
0 |8 X* l$ F* K/ Y" T0 G 默認安裝在C:\ProgramFiles\GAMEHALL,并在開始菜單添加快捷方式��。 # i' t' B* B& m: @
/ |: `# k- m$ Z; {2 m5 b 2�、強制添加并篡改IE搜索引擎: 7 z+ s! j2 O# K Z* o# M
- W/ G1 N0 H# ^- q* D% R1 B0 q, ]9 G( [ 安裝新版Windows優(yōu)化大師后����,即使不選擇任何設(shè)置���,系統(tǒng)注冊表會被修改,添加和修改的內(nèi)容如下(此項內(nèi)容引用網(wǎng)友評測): * d" V" X) p" O$ m3 z$ W* \, |5 ^
) x8 ~* Q8 D; J' ]" D
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search] 0 }( u/ o6 X6 E* e+ }
4 j2 S5 V" D+ w0 e6 D
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" h- Q' Y6 V* w# u4 C; Y# ^( [" s
/ ]: D1 b) [4 e' }* I# f+ z "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" % B! n- T9 q9 W& }
' q1 ?( j: O' V& R) I [HKEY_LOCAL_MACHINE\SOFTWARE\Wom] $ Z* w# a7 q8 e0 w% A; C0 [
* W9 } V% s/ x) |7 T# N "Masters"="0F0F0F0F"
" i3 _# U; R0 l; `! G' r" j5 A2 H6 D/ }4 Y: z
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll" & _) }' y. {+ k; W
! o4 n9 c/ H4 A; e9 Q) {$ U "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
M5 ~7 q) U* G2 f8 A$ @4 c, x& z: l
- ~% p7 {' O/ |7 x2 W, r! o [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
$ P- @) t5 {; e, F; D' V2 F5 Z {' b8 y& A) V$ a$ a
"DefaultScope"="Baidu" 6 h/ X" a/ j: M* P3 \
3 o* A6 U4 c' B5 H [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
6 u3 J# d+ I- S
- @/ H+ G2 H% r* L( V0 }9 \ "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 7 p* y7 W7 _) X8 `8 @5 u
9 T4 W* h- b) `* L7 ^
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu]
' `6 W4 Q* e" v/ g! k
9 Y, U% c6 P, H* c- ?" c: ` "Codepage"=dword:0000FDE9 ! o% c1 Z; _' n2 b% y. \( {
4 C) w9 m4 T$ [9 k+ ^; U" x* Q
"DisplayName"="百度搜索"
3 i6 b8 K3 y4 M6 } q& ^1 }- t" e1 X. _# {0 m% G
"SortIndex"=dword:FFFFFFFD
5 `5 V4 l& F. I0 w. E
* f$ F: }* y" \8 ~; j "URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
3 ?' b. o) y. p
, G- C2 \# l2 L5 y [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] ) f6 Z$ Z% s! Y+ s6 Y7 v, Y# i% U
1 ]+ t% J, M' x6 `9 b; V "Codepage"=dword:000003A8 ' w( F" I' K7 ` k( O! U q
2 m* v# K7 C( ?; p' l
"DisplayName"="谷歌搜索" 2 q2 _5 I% Q. @, k+ k9 q
8 o$ u7 H7 W. O% C6 J6 r1 L
"SortIndex"=dword:FFFFFFFE
" ~& T+ Y2 Y9 n* U3 J& \8 b
' P* c+ N+ ?6 C5 i4 Q6 N "URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
4 D. F( i/ s- y* m/ Y+ }4 a6 f, I6 q# {( H! q
[HKEY_CURRENT_USER\Software\Microsoft\Windows]
1 V" X. O1 {% q# X5 X" g) d( K4 _* C# I% S! G
"Verion"="0013E86C8919"
- m# g' N1 Q4 q, p# _- I3 G$ ?9 J
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections] $ W1 d) l F7 }3 n F3 T. n
& S5 G: [1 j5 R* {! ^; L
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
- ~+ Y( L' u- L1 |5 T
4 b8 l" z1 w+ g 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\ % V) o( q$ w! V4 h# T
& T6 ?6 `( q! o$ g: `$ G4 \. j S
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
, g8 z: t- E1 }% y5 n2 y- P# b. c0 @+ @9 Q* B( h# N
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] * i& A1 e0 U- }* u" Y( v" e/ \
$ ]9 m0 Z( G1 }' B4 \8 H; [' ^# G
"1803"=dword:00000001 `3 j* p W/ B$ p
* O- j' w& z5 T1 w
同時中途可能會連接以下不明網(wǎng)址:
$ a$ N( s# [* [1 X' M9 P$ r* X2 g8 q# Q: S
www.930930.com
6 @& B% o% c) `. e
5 _% d% e8 q! J. d- V/ ^+ u www.304304.com # ~! l/ K! T* r# `
/ a1 v: r. r) h9 R www.072072.com
9 d) f5 k" G. ~% W/ O
3 m% P) S1 |% t* _/ m/ T 072072.com ' C; a$ }: A3 z2 J
3 _1 n5 ]! p+ ^4 H/ `( w0 H- t
www.146146.com / i. Q* ]4 U; E, E
# y! y% q2 X0 f+ p5 D
146146.com 5 `( l6 y, H& H" I* \' I: H
( N! c) o, {+ I, l; i 397397.com / f* W B3 m! ? y7 O2 Z( ]% }
2 m5 ^9 y3 w! ^; c* h
265.com
1 \& a, q0 m- u/ ^5 q) g. x: G
6 S! \; L" s% E liveupdate.baidu101.com 0 ]4 I! i- y+ F2 K
. u0 V/ D8 p2 N5 z' L" f
3��、強行修改注冊表并劫持COOKIES: j0 b# m9 X( i Y) B v( N" o
; v# T2 O6 F1 m3 n" G
安裝新版Windows優(yōu)化大師后��,會在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software�����,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符����,下同),同時����,修改注冊表以下兩項:
# P. q, ]8 \' F3 y& F- c' \, I
7 e8 i! n8 K m2 y5 b3 e# k HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
2 w/ B) W7 e" ?' U$ `6 Q5 M5 K+ \; G4 M& f5 m' v* i* ]7 A
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies # h* J4 K Q* V# N/ J3 ]
! E0 o8 ] x1 K7 g 為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat w. ?9 @4 f* [- _
* H' B/ D8 k" W. ~) X 此項內(nèi)容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網(wǎng)站的行徑,掩飾那些不停生成�、快速增長的cookies文件,而強行將用戶COOKIES劫持到新生成的Software文件夾�����,只不過,因為技術(shù)人員的一時馬虎�����,忘了將最外層的Software文件夾也加上“隱藏”屬性���,才暴露無遺……
. [6 r9 S) O0 z1 z+ R- e' O* e+ v
; y; }; ^2 ~9 Y1 }1 b 4����、APIHOOK: 6 r A4 K6 W% n; ]
; N1 c D# t! ~
安裝新版優(yōu)化大師后�,會將系統(tǒng)入口點FindFirstFileExW掛鉤至0xB8ED3A26模塊。
* a8 T" n% E% U/ Z0 N# i. g5 P" |: L
此項為網(wǎng)友反饋�����,因筆者水平有限�,對此不甚了解,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息����,還希望有技術(shù)高手繼續(xù)研究分析出其實質(zhì)。 ! s4 d$ z2 x* P9 K2 P" o
6 ]0 W- n' b1 |/ `+ ?0 _! R5 _- | 至此��,真相大白……
1 |) v5 i- }- `. n- n7 l! m8 o- J* O* l( t5 L% ~' S9 J4 W
我們再來復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下,在用戶計算機或其他終端上安裝運行����,侵犯用戶合法權(quán)益的軟件���,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計算機病毒除外�����。其具有如下特點:強制安裝����、難以卸載�、瀏覽器劫持、廣告彈出����、惡意收集用戶信息、惡意卸載����、惡意捆綁等。 & L4 ~* ]9 B% g; h& R
* w; Y" y3 B; j/ H1 M9 v
由此定義�,對比新版優(yōu)化大師的行徑���,相信大家自會有所明斷。 % @- n* F) Z7 w" W" a
! f9 B8 P. B" {1 g 在CNBETA發(fā)文之后����,優(yōu)化大師官方迅速推出了V7.93.9.305版本,將游戲大廳修改為安裝可選項����,但據(jù)網(wǎng)友反饋,其篡改搜索引擎的行徑卻依舊故我�����,其它幾項暫未做檢測�����,故不加評論���。
, @" P- C6 a) X* v
. H; k% d, c/ G 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng)����,故在此提出簡單修復(fù)解決辦法,僅供參考
( P1 h; o; u* @4 a; |
) x# g; [" @% V+ @ 當然了��,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~
; Q9 d. K1 [& E! s7 @ L/ C' q d8 \$ \
針對前文所述4項內(nèi)容���,進行以下修復(fù): + A/ r% o+ A4 N$ N6 u/ l
" r6 n9 {- n- b; ~3 c6 O' u. ` 第1項可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式���;
( @5 |0 `. @% O# r1 l
) }' O5 J' s) |( R 第2項可在卸載優(yōu)化大師后,在IE的INTERNET選項中自行修改(WIN7系統(tǒng)最好同時勾選“阻止程序建議對默認搜索提供程序進行的更改”)���,之后手動清理注冊表以上所列項目; $ ]1 a7 u# n$ c
! u* g' S9 v8 p3 F |( U* z9 v 第3項需修復(fù)注冊表以下兩項:
5 U$ b$ `) O3 O4 ?9 Y& O2 k/ T) X' M9 U% ^4 A7 k& o" ^" \
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 3 X6 n" V% M3 [3 z7 {" C, e
/ {& M* g: @) {7 T6 v" \
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies
2 C6 D3 K& g* h; p: c) r! I: |: {1 c4 e' u; D- S
VISTA���、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
- n. o; W+ I; z+ O7 m
( R9 u1 u0 S) _1 I1 ~ XP下將兩項分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies
9 e { H7 n' x* i% p( |! b3 L; x& s7 r2 y2 u
重啟電腦后刪除所有盤符要目錄下的Software文件夾�; * }7 P7 Q9 n# z' M( i& P- K) M
7 m8 o& p$ D* J+ k# O9 f& ^1 T- a 第4項因筆者水平有限�����,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
