自優(yōu)化大師推出V7.93.9.303版本以后,不少安裝此版本的用戶隨即發(fā)現(xiàn)��,自己的電腦中多了一些不明文件及程序�,并且搜索引擎被強(qiáng)行篡改,隨即紛紛到優(yōu)化大師官方論壇提出問題����、尋求解答。但眾多用戶的反映卻未收到官方任何回應(yīng)��,反而被一一刪帖�。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強(qiáng)制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文��,引起各方關(guān)注����,官方才匆匆發(fā)出一個公告,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序�,對網(wǎng)友反應(yīng)的其它問題卻只字未提。 7 G6 p; q; p2 D, f9 Z9 D; j y: @
1 i: T% `1 N t j 做為多年的優(yōu)化大師使用者��,筆者也是第一時間趕到官方論壇��,本著對優(yōu)化大師多年良好聲譽的信任,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法��,然而���,卻遭受到了刪貼���、封IP、鎖ID的待遇�。一個“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應(yīng),不禁令筆者疑竇叢生���,于是對此版本軟件進(jìn)行了詳盡測試����,并參考一些網(wǎng)友的反饋��,得出結(jié)果令人大跌眼鏡�����。下面我們就來看看這個新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進(jìn)行“優(yōu)化”的:
, J8 O% H4 u5 A9 V# c
. o; |- e" G# \ T/ ]: ]$ k% t E 1��、強(qiáng)制安裝GAMEHALL游戲大廳: . Z- ~% ?" u7 h t9 R+ ]
3 K6 h1 x* B" c# A' B
默認(rèn)安裝在C:\ProgramFiles\GAMEHALL,并在開始菜單添加快捷方式�����。
0 d ?7 T7 v7 s9 w g/ o1 t, z$ b, [
2�����、強(qiáng)制添加并篡改IE搜索引擎: ; g8 L1 ?% B' {% {5 L+ e
2 y7 w! |7 w. Y+ m* w
安裝新版Windows優(yōu)化大師后�,即使不選擇任何設(shè)置,系統(tǒng)注冊表會被修改�,添加和修改的內(nèi)容如下(此項內(nèi)容引用網(wǎng)友評測):
5 b( A& P+ g% W+ P% x4 u' a
* O4 v9 N8 k# g0 T* G$ z [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search]
+ ?: B$ S& l: |
) ]3 H% j, F0 v "CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" / p, G0 e# t5 R l* D' _/ p% T4 d
1 l8 t$ g( {2 A6 T& ? "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
7 G j l* o( a( v
, \1 y7 r# N7 f; T( @- ], s: d. ] [HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
+ J f2 U4 S% z; J- D) C) ~ _/ Z+ d
"Masters"="0F0F0F0F"
1 [0 k2 L, _4 w. ^0 n- Q5 a( |+ d! {1 q% W
"WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll"
: |1 V5 _( [0 a {; X
& y% a. I3 H! e0 s, l/ p9 L- s7 v+ o' J "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
4 s7 s% U/ M3 ?) e, m. W+ H
- N9 O$ @5 o/ \6 r0 Q [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
+ Q- y% n: F4 T7 n
?6 v+ \1 g# X. f7 p/ x: D6 y7 G1 x "DefaultScope"="Baidu"
7 @) z3 O! Y# e) @
1 J; r2 m; a5 f- m2 I; Y [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}] f5 W( L" ^, T! v( g
0 \" @: P& I H) v8 U9 n. U
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
$ s* y2 c' d- v( s1 n' f8 c; u [% n( l8 p2 k+ R& u
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu]
6 O8 D6 i3 G! c9 y2 H) G5 G
1 O& u! V) s/ t% Z6 c Y "Codepage"=dword:0000FDE9 " w2 |* R$ f$ S& Z4 {1 w
& ^( U$ b4 I6 I "DisplayName"="百度搜索"
7 p, F; b% u h# }6 c" \2 o% H; C) Z$ y( p$ l. K+ k0 K
"SortIndex"=dword:FFFFFFFD
' M: G& d) D: m3 B+ t, W/ f; z0 W# C3 F
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" & p) ~. ]! H6 |7 T6 T# T
- ]& @9 b: z6 m6 \ ] [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google] - y! Z4 M% c, _: \, z
8 J8 _9 o% h. c
"Codepage"=dword:000003A8
8 W- a% _% W8 k* H; {
* W9 |: a9 N5 X5 g* A. Q$ m; | "DisplayName"="谷歌搜索" E# H$ i# Q' F) s2 {7 w
9 h: v+ d+ ]) T, F) \3 V "SortIndex"=dword:FFFFFFFE
* A t% z' K& _+ p- m
$ ~9 p j8 O, ^! d. L9 ]6 z "URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=" 8 i& l6 s) {# A
4 L3 w3 k6 n. [ [HKEY_CURRENT_USER\Software\Microsoft\Windows] * c; u* }0 P1 N2 R+ p
4 n; r$ m' n8 |+ e& Q
"Verion"="0013E86C8919"
6 K" z1 d1 E9 E m5 T" S
) p/ y5 F5 a! j- c! |# f [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections]
: _5 c' g9 Q. D; F. X* K' o5 m9 C" l! N! Y* c; z* u, r9 {9 A
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\ 8 Y) @, _' v/ y* A- v
) ~! y& `' [+ S8 Z
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
' U X% U0 R+ J! l" R% w3 M" P+ y* V1 M
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
6 K1 W% R- m. ^/ a# H
: ]8 ?. e- w& W: m j; I! o& {2 ^ [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3]
1 B1 f5 B# q6 o! | W0 _2 R: d4 O1 w9 o8 \& }6 {2 D
"1803"=dword:00000001
& r3 c. n, Y0 A* i0 u3 D. E9 \) w$ }' C/ r
同時中途可能會連接以下不明網(wǎng)址: 6 i# C+ Y4 Q3 \# E
2 Q5 n' b& @) q6 f5 q4 h ?8 X9 W) {
www.930930.com
! Q6 L; F! e4 S0 M' l& b' M1 @9 N7 ^6 c* g1 V. e+ v4 N5 q
www.304304.com + G) S! ^# C( K+ B
1 C- L& x# |# y* ~; j) @" g) p7 s# A, b
www.072072.com / S# I0 J+ I9 u- j- e
8 I, A, c( b2 S) [+ b! r# `8 r( \
072072.com : b% o6 n% s1 d5 s
% q% b6 @! K; q. L- ~
www.146146.com ' }, {" I3 q! R" D& C+ |; n
1 _4 ]1 \5 O. ]1 w% B
146146.com
8 x; n' \( x, E/ @% w$ w5 y
+ I/ v7 p, |" i5 T- Z 397397.com " H p/ }. X" a X/ y7 Y
2 p9 V+ F: m& S# I( f' U& D
265.com 0 R$ C9 E" y h
7 G% ?/ |1 ^' `: r3 |0 T. r
liveupdate.baidu101.com
! g* h9 o# r$ @2 Y0 U: x3 i" e4 n9 o& g" u) c
3、強(qiáng)行修改注冊表并劫持COOKIES: 2 u) O1 P7 u0 M# s! s; X8 k4 n. T
- z- K( u" ?$ _ z! a' r* C; }( A 安裝新版Windows優(yōu)化大師后�����,會在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software�,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符,下同)��,同時�,修改注冊表以下兩項:
* I" B, X$ _! N2 F/ P6 d N
, d* K: W) o" P. x4 G1 k6 L3 L HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies 0 B# H/ O5 B# F/ c3 x2 R
" z; C- a1 y% q. j9 ?* @! I
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 8 @6 A: {' J% \6 Y0 E! d" f& n. g
/ z+ a7 @3 D, u4 M/ W# ?) M
為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat
2 p. |8 B* C6 g' B+ T( J7 D
3 I+ W; N- h# p9 j) W 此項內(nèi)容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網(wǎng)站的行徑����,掩飾那些不停生成、快速增長的cookies文件,而強(qiáng)行將用戶COOKIES劫持到新生成的Software文件夾�����,只不過����,因為技術(shù)人員的一時馬虎,忘了將最外層的Software文件夾也加上“隱藏”屬性�����,才暴露無遺…… + m9 E) S4 J: K) Y
- `# ?6 h0 |& `+ n O6 { 4�����、APIHOOK: & n/ B/ [4 ^& k, z9 K$ O2 U! b
8 U0 P2 @ `- m K 安裝新版優(yōu)化大師后�,會將系統(tǒng)入口點FindFirstFileExW掛鉤至0xB8ED3A26模塊。 9 W6 M9 `5 }/ ]+ J, i4 O! t& e
) v* ]9 g& q! j( T
此項為網(wǎng)友反饋���,因筆者水平有限��,對此不甚了解���,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息���,還希望有技術(shù)高手繼續(xù)研究分析出其實質(zhì)。
3 v) V v/ W/ x6 m# Z
! P" {7 f0 m8 [; q8 ~$ s; a9 i 至此����,真相大白……
. a1 k* b3 V. M. O2 E# U7 ~2 z/ H% o; H1 ]
我們再來復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下,在用戶計算機(jī)或其他終端上安裝運行��,侵犯用戶合法權(quán)益的軟件����,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計算機(jī)病毒除外。其具有如下特點:強(qiáng)制安裝���、難以卸載��、瀏覽器劫持�����、廣告彈出��、惡意收集用戶信息���、惡意卸載、惡意捆綁等����。 8 h* ]4 c; g0 P {
9 k/ Z/ j2 n9 r9 s6 P/ T/ t' h; X
由此定義,對比新版優(yōu)化大師的行徑�����,相信大家自會有所明斷���。
7 s" ^9 H' d2 D9 v& |
' s4 e% R* J V7 R" _! W: T" f 在CNBETA發(fā)文之后�����,優(yōu)化大師官方迅速推出了V7.93.9.305版本�,將游戲大廳修改為安裝可選項���,但據(jù)網(wǎng)友反饋����,其篡改搜索引擎的行徑卻依舊故我�,其它幾項暫未做檢測,故不加評論�����。
- h% V8 N5 H4 h P+ a$ T
6 F2 C {1 S5 B4 P) x/ Y" B5 ^2 o 因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng),故在此提出簡單修復(fù)解決辦法���,僅供參考 1 b+ p) m5 w% i+ W
; y# e, d# f" g& r, y0 e4 e& h
當(dāng)然了�����,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~
1 w; r, S; t8 a5 _. Z
6 c9 p- D, N. k2 J' P5 h 針對前文所述4項內(nèi)容���,進(jìn)行以下修復(fù): * P6 a9 v4 |4 V" t$ Q- V# G2 H
- l% H5 X" l& z: Q; Z5 j6 F$ a; r 第1項可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式;
0 d" y- H$ a+ Z9 T6 T2 h6 E& D8 r6 W9 s3 H3 `/ _
第2項可在卸載優(yōu)化大師后�,在IE的INTERNET選項中自行修改(WIN7系統(tǒng)最好同時勾選“阻止程序建議對默認(rèn)搜索提供程序進(jìn)行的更改”),之后手動清理注冊表以上所列項目�����;
& x6 T# B3 f% |& `; I/ p) E9 _' i6 R! ?' j1 B* s
第3項需修復(fù)注冊表以下兩項:
4 K* Y( e* b- T& O8 L
2 \2 a+ H4 i. f/ J HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies ! L1 `9 S" l7 m+ [8 Y
4 `$ e' t- P ~& N) ?
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies ; ?& z; S- |9 _& F+ r" W# |- e0 l
' n) i. i1 u" c, w3 {* f6 J# _2 w
VISTA�����、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies E; O2 }/ p2 [+ N; F Y
* C! A* U2 a1 _( q7 K XP下將兩項分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies " {' T; {# K4 u& }) n
' A/ p2 i& D( f
重啟電腦后刪除所有盤符要目錄下的Software文件夾��; : j7 m, q2 Z* A* q& R
' }/ h( Q) z8 ?/ T3 I9 p9 Y
第4項因筆者水平有限���,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
