自優(yōu)化大師推出V7.93.9.303版本以后,不少安裝此版本的用戶隨即發(fā)現(xiàn)�����,自己的電腦中多了一些不明文件及程序����,并且搜索引擎被強行篡改,隨即紛紛到優(yōu)化大師官方論壇提出問題���、尋求解答�。但眾多用戶的反映卻未收到官方任何回應(yīng),反而被一一刪帖��。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強制百度搜索添加可疑文件優(yōu)化大師全面轉(zhuǎn)型流氓大師”一文��,引起各方關(guān)注�����,官方才匆匆發(fā)出一個公告���,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序�,對網(wǎng)友反應(yīng)的其它問題卻只字未提�。
% S* c4 o, X" D( R2 n. M0 D
( U, A, J( c2 W; Y$ _- i 做為多年的優(yōu)化大師使用者,筆者也是第一時間趕到官方論壇�,本著對優(yōu)化大師多年良好聲譽的信任,積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法����,然而,卻遭受到了刪貼�、封IP���、鎖ID的待遇���。一個“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應(yīng)�����,不禁令筆者疑竇叢生�����,于是對此版本軟件進行了詳盡測試�����,并參考一些網(wǎng)友的反饋����,得出結(jié)果令人大跌眼鏡�����。下面我們就來看看這個新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進行“優(yōu)化”的: ! A$ l/ o! D. |1 i3 U8 m, t) i% i3 x9 t
# Q7 i9 w8 B0 X 1�、強制安裝GAMEHALL游戲大廳: + c& ~" k, e4 O B; \
3 r( R5 l2 J# i3 {6 o, ?( M! a3 G
默認安裝在C:\ProgramFiles\GAMEHALL,并在開始菜單添加快捷方式��。 ) u1 }0 `" V- }
& @, u5 J8 l' i 2、強制添加并篡改IE搜索引擎: / M. m0 f2 ~1 G7 T
* Z: Y- X3 e1 n# r
安裝新版Windows優(yōu)化大師后����,即使不選擇任何設(shè)置,系統(tǒng)注冊表會被修改��,添加和修改的內(nèi)容如下(此項內(nèi)容引用網(wǎng)友評測): + b/ w& f% `5 ] f+ M7 c4 ]
9 H& _% c7 r( }! C [HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\InternetExplorer\Search]
2 C$ Y9 T2 E' z. C
$ X4 Y+ w; s0 @( L9 j4 { A "CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg" 8 }- P, l. n5 i1 d0 \
4 R! v" f6 X) y. x. C "SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg" . {% H* @8 e! |' Q
k5 I1 V3 P) m6 g L [HKEY_LOCAL_MACHINE\SOFTWARE\Wom] ( q( Y! K4 x% Z m
* A- Y2 R% d' M T/ {- [: D "Masters"="0F0F0F0F" 2 W+ k! K1 m: w8 N9 Q* f4 I5 b7 n
# W5 [) N+ P8 @ @/ k "WoptiP2PLibrary"="V:\\WoptiUtilities\\WoptiP2P.dll"
$ ~3 [( @- k* u t" {
* E8 K2 d" \* G- _9 Q# D "WoptiUtilities"="V:\\WoptiUtilities\\WoptiUtilities.exe" & S& ]- W& Y) Y. z% Y- R
/ D6 ?! d# M, w% s( D! x5 X4 Y# b! a [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes]
5 d7 ^5 ]% l) H+ B; z8 `- J! a. F
+ G$ j. Y5 [; q/ r {7 H "DefaultScope"="Baidu"
5 i( w' E8 E+ r+ Y" @
$ t; g7 e% |9 ]% f6 I2 ^6 ]5 J3 E [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}] ! @, x2 G& ~/ P2 E1 w& v
' k" w6 n* d2 O4 h: O8 R
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3"
2 O, [) m- C- p
; A# P4 J0 g2 }# b* U [HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Baidu]
?- f9 g9 |3 L/ ?* C/ l [7 b2 W6 G$ W3 d( R! P; L5 e( N
"Codepage"=dword:0000FDE9
2 P& [$ q1 G5 }. V- r' {. R- L5 s! k! D: I
"DisplayName"="百度搜索"
5 v3 I H# T4 s9 Q0 U4 ^% D; W ~9 o- F8 k" I
"SortIndex"=dword:FFFFFFFD . T- k' Y; t& t/ d6 L
0 q' N* y- @# ~" k% _+ z
"URL"="http://www.baidu.com/s?tn=youcome_pgie=UTF-8&wd={searchTerms}&cl=3" 9 n5 n; ~% f8 i6 R! r% a7 P% v
9 D- U$ e/ u6 T* U+ ~9 R
[HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\SearchScopes\Google]
9 k2 S" f d4 Y* t, M ~, a2 \& y- w! }* q+ q) v
"Codepage"=dword:000003A8
7 B" K1 {# C6 T7 `+ v" c* C8 E6 y% t8 C' j( u6 C- ]% ?* ?
"DisplayName"="谷歌搜索"
! O" z) n7 X# B, b. n m$ @
. c: I+ p, x% V7 U7 G "SortIndex"=dword:FFFFFFFE 0 h: u& K+ B0 A7 H: z
8 h8 a" a; C' h1 p* b
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
% Y7 ?: k, F; z4 w ~7 r4 b7 Q* \
6 _' h# S) g6 ? [HKEY_CURRENT_USER\Software\Microsoft\Windows]
+ M- N, d/ j6 A5 |; X1 j0 }" p6 ], |+ ?4 j% [& u+ S9 j, B1 n
"Verion"="0013E86C8919" : C a* G. ~' s2 X2 P
# C# p" @8 |+ v
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Connections]
' S3 m& e: [( o# L
5 n. O7 h/ z M H2 T( W. R2 Y# U8 b "SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
7 q) O) l$ g9 [# S; A9 |2 w1 e$ H3 e8 A# E5 t. q& o4 L) q
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\ ) u2 W8 @7 j# \( G
2 `, {- {0 W% j5 Q3 V s. P
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
d, _# E0 d: d5 y
: X- {: s6 o* s' v [HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\InternetSettings\Zones\3] 9 `9 n8 X8 p; `" S# M/ n1 l
+ o9 h; G7 |6 Q8 \3 k j" x3 Z "1803"=dword:00000001
1 }3 i+ L# _0 `4 v4 P
) M, S4 O- ~, u) n! ]2 X ^) C 同時中途可能會連接以下不明網(wǎng)址: 0 S4 O! u4 z1 _- \% j. F
3 K- A$ B) d- \
www.930930.com
* N0 ^! j# l9 A3 s! F6 F. v* V" B* X2 F/ g1 _2 U/ C0 T: }
www.304304.com ; o7 F4 G, R- Y5 d4 O* j
8 o7 S \5 K( g8 {' T: [/ E
www.072072.com
* G X( V. V3 c+ T" T; \8 G0 g& R2 v7 ~) e: m1 y. J" Y, l% [
072072.com
' @3 [% L3 O3 m0 f, [' A
7 B+ z2 l* [4 h; I www.146146.com
. L7 Y& |; ~' X( M. _4 r* T' R1 y/ C5 X% b& f# [. V
146146.com
4 y" K8 U4 j* D, l9 Z# q! D5 h: |; N1 V5 ?- g
397397.com
' q1 K# ^7 d5 I* e" @$ K- N
; E" Y9 H7 C( H0 |; H1 w 265.com
5 q- o" ?3 K1 l. c9 {& ^/ `
9 f1 o! C4 i8 R, ~ liveupdate.baidu101.com ' D3 u$ D% {0 ?* {8 c+ h7 D) D8 g
5 o; f' {. D& C! Y6 L. M: B/ O0 O; v 3����、強行修改注冊表并劫持COOKIES: 7 V+ M7 ?' t; K5 A5 j
; @* T% V$ I! v: q5 E8 y 安裝新版Windows優(yōu)化大師后,會在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software����,里面都包含好幾層文件夾及隱藏文件X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat(X代表所在盤符,下同)���,同時���,修改注冊表以下兩項:
$ s( {) ^4 Y! \7 S+ U0 {- S# [- B) `1 C
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
' ^. ^5 B; R1 P& P! T G1 o2 l) Z) l, K3 w
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies 2 N# _! S" }4 r$ G# d( C& x8 q
- x( R8 f8 _! P3 L* m 為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\index.dat - e; z% v6 m1 t: r
, ?( z* U3 F- ^9 y! d9 A) g 此項內(nèi)容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網(wǎng)站的行徑,掩飾那些不停生成�����、快速增長的cookies文件����,而強行將用戶COOKIES劫持到新生成的Software文件夾,只不過���,因為技術(shù)人員的一時馬虎��,忘了將最外層的Software文件夾也加上“隱藏”屬性��,才暴露無遺…… 6 Y, @7 o& G- u/ W
$ ]3 q$ E% I% X) e- M$ F4 @ 4��、APIHOOK: 6 k. L3 O& K: S; C) n0 X* S
% S8 _) h \+ e! x) |: O. {
安裝新版優(yōu)化大師后���,會將系統(tǒng)入口點FindFirstFileExW掛鉤至0xB8ED3A26模塊。 7 Y: E k/ a% B% S1 o8 Q
- Y3 p! [6 U; A4 Y3 d
此項為網(wǎng)友反饋�,因筆者水平有限,對此不甚了解�,搜索網(wǎng)絡(luò)也未見有相關(guān)模塊信息,還希望有技術(shù)高手繼續(xù)研究分析出其實質(zhì)��。
& i2 ]0 B: g* k7 w
r3 y% f F3 d( ` 至此�,真相大白…… . [; E, m# r, e( a4 Q% _* ^* Y) q
$ H: d, k+ E V$ ^ 我們再來復(fù)習(xí)一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經(jīng)用戶許可的情況下,在用戶計算機或其他終端上安裝運行�,侵犯用戶合法權(quán)益的軟件,但已被我國現(xiàn)有法律法規(guī)規(guī)定的計算機病毒除外����。其具有如下特點:強制安裝����、難以卸載��、瀏覽器劫持���、廣告彈出����、惡意收集用戶信息����、惡意卸載、惡意捆綁等�。
' v& c& I" a' Q) i+ S( v% @8 f8 k U( c- D% b r2 I
由此定義,對比新版優(yōu)化大師的行徑�����,相信大家自會有所明斷����。
- Z, {! p* k/ A1 U
' V' L, i' Z# ^; k) u5 b! g 在CNBETA發(fā)文之后�����,優(yōu)化大師官方迅速推出了V7.93.9.305版本��,將游戲大廳修改為安裝可選項,但據(jù)網(wǎng)友反饋���,其篡改搜索引擎的行徑卻依舊故我����,其它幾項暫未做檢測�,故不加評論。
, [: C5 V; }! K; P+ k+ H6 |. g6 e0 x d, a% b
因仍有許多已安裝V7.93.9.303版本的網(wǎng)友不知如何修復(fù)被篡改的系統(tǒng)���,故在此提出簡單修復(fù)解決辦法�,僅供參考 0 R0 m- W, p( d& K1 {# S/ c
6 `1 j' U: G! _# e1 S 當然了�����,修復(fù)的前提是先卸載掉此版本優(yōu)化大師~~
7 W6 \% B) m+ h) G; V
2 e- V/ Z: c" b1 I& X; K, b 針對前文所述4項內(nèi)容����,進行以下修復(fù): & `& p' P: \: p# v( H Q, J( A
1 B( ^: [; p Q4 g, x. w 第1項可自行刪除C:\ProgramFiles\GAMEHALL文件夾及開始菜單快捷方式����; 4 e7 ~2 r' ~6 `4 Q
, v1 E* h4 s8 m. Z2 f9 ^
第2項可在卸載優(yōu)化大師后����,在IE的INTERNET選項中自行修改(WIN7系統(tǒng)最好同時勾選“阻止程序建議對默認搜索提供程序進行的更改”),之后手動清理注冊表以上所列項目���; - N; k8 t {, |
: x. z; V/ g# ~2 g
第3項需修復(fù)注冊表以下兩項:
( q% M8 C( `+ x9 X5 g; E! W6 _
2 I8 C" I! |* _3 \; [ HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\UserShellFolders\Cookies
, @6 O' q* m( z8 A. I$ B5 ^* F# z
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\ShellFolders\Cookies $ G) {4 |: P! o( r
* `2 k4 P: o; a2 I% T% E, l VISTA�����、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies
2 M& n2 j6 |5 M: W8 K% i$ Q# `) T+ _1 S* |" A8 P; i
XP下將兩項分別修改為C:\DocumentsandSettings\LocalService\Cookies和%USERPROFILE%\Cookies ( N0 P, N) u {, ]8 N
" |8 e7 V- @) f3 H 重啟電腦后刪除所有盤符要目錄下的Software文件夾�; , {9 X" O' w9 o' p
2 C3 q/ K5 X3 J. k" l- W: ` 第4項因筆者水平有限�����,暫無解決辦法. |
發(fā)表于 2009-5-7 10:16:30
QQ好友和群
QQ空間
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
發(fā)表于 2009-5-7 14:41:58
