近日，曾經(jīng)在國內(nèi)猖獗一時、為人所痛恨不恥，而經(jīng)過網(wǎng)絡環(huán)境凈化已漸趨消聲匿跡的“流氓軟件”一詞，又在網(wǎng)絡上大面積出現(xiàn)，而此次，這個詞指向的卻是一個久負盛名、在各大下載網(wǎng)站長期駐守下載量第一名、在國內(nèi)收費軟件中銷量排名也是第一、很多人裝機必備的系統(tǒng)檢測、優(yōu)化軟件：WINDOWS優(yōu)化大師。
        自優(yōu)化大師推出V7.93 .9.303版本以后，不少安裝此版本的用戶隨即發(fā)現(xiàn)，自己的電腦中多了一些不明文件及程序，并且搜索引擎被強行篡改，隨即紛紛到優(yōu)化大師官方論壇提出問題、尋求解答。但眾多用戶的反映卻未收到官方任何回應，反而被一一刪帖。直到有氣憤不過的網(wǎng)友在CNBETA投遞并刊發(fā)“強制百度搜索 添加可疑文件 優(yōu)化大師全面轉型流氓大師”一文，引起各方關注，官方才匆匆發(fā)出一個公告，但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序，對網(wǎng)友反應的其它問題卻只字未提。
        做為多年的優(yōu)化大師使用者，筆者也是第一時間趕到官方論壇，本著對優(yōu)化大師多年良好聲譽的信任，積極提出問題現(xiàn)象并綜合網(wǎng)友討論提出了一些解決辦法，然而，卻遭受到了刪貼、封IP、鎖ID的待遇。一個“優(yōu)秀”軟件的官方論壇竟然這樣對待用戶的意見反應，不禁令筆者疑竇叢生，于是對此版本軟件進行了詳盡測試，并參考一些網(wǎng)友的反饋，得出結果令人大跌眼鏡。下面我們就來看看這個新版的“優(yōu)化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進行“優(yōu)化”的：
          1、強制安裝GAMEHALL 游戲大廳：
               默認安裝在C:\Program Files\GAMEHALL，并在開始菜單添加快捷方式。

          2、強制添加并篡改IE搜索引擎：
          安裝新版Windows優(yōu)化大師后，即使不選擇任何設置，系統(tǒng)注冊表會被修改，添加和修改的內(nèi)容如下（此項內(nèi)容引用網(wǎng)友評測）：
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Search]
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg"
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
[HKEY_LOCAL_MACHINE\SOFTWARE\Wom]
"Masters"="0F0F0F0F"
"Wopti P2P Library"="V:\\WoptiUtilities\\WoptiP2P.dll"
"Wopti Utilities"="V:\\WoptiUtilities\\WoptiUtilities.exe"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes]
"DefaultScope"="Baidu"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
"URL"="http://www.baidu.com/s?tn=youcome_pg&ie=UTF-8&wd={searchTerms}&cl=3"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\Baidu]
"Codepage"=dword:0000FDE9
"DisplayName"="百度搜索"
"SortIndex"=dword:FFFFFFFD
"URL"="http://www.baidu.com/s?tn=youcome_pg&ie=UTF-8&wd={searchTerms}&cl=3"
[HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\Google]
"Codepage"=dword:000003A8
"DisplayName"="谷歌搜索"
"SortIndex"=dword:FFFFFFFE
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
[HKEY_CURRENT_USER\Software\Microsoft\Windows]
"Verion"="0013E86C8919"
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Connections]
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,\
   00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,\
   01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
[HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3]
"1803"=dword:00000001
同時中途可能會連接一些不明網(wǎng)址：


        3、強行修改注冊表并劫持COOKIES：
         安裝新版Windows優(yōu)化大師后，會在用戶電腦系統(tǒng)盤及優(yōu)化大師安裝盤根目錄下生成無法刪除的文件夾Software，里面都包含好幾層文件夾及隱藏文件 X:\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\index.dat（X代表所在盤符，下同），同時，修改注冊表以下兩項：
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Cookies
   HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies
為X:\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\index.dat
    此項內(nèi)容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網(wǎng)站的行徑，掩飾那些不停生成、快速增長的cookies文件，而強行將用戶COOKIES劫持到新生成的Software文件夾，只不過，因為技術人員的一時馬虎，忘了將最外層的Software文件夾也加上“隱藏”屬性，才暴露無遺……

      4、API HOOK：
        安裝新版優(yōu)化大師后，會將系統(tǒng)入口點FindFirstFileExW掛鉤至0xB8ED3A26模塊。
       此項為網(wǎng)友反饋，因筆者水平有限，對此不甚了解，搜索網(wǎng)絡也未見有相關模塊信息，還希望有技術高手繼續(xù)研究分析出其實質(zhì)。

           至此，真相大白……

          我們再來復習一下流氓軟件（惡意軟件）的官方定義：是指在未明確提示用戶或未經(jīng)用戶許可的情況下，在用戶計算機或其他終端上安裝運行，侵犯用戶合法權益的軟件，但已被我國現(xiàn)有法律法規(guī)規(guī)定的計算機病毒除外。 其具有如下特點：強制安裝、難以卸載、瀏覽器劫持、廣告彈出、惡意收集用戶信息、惡意卸載、惡意捆綁等。

           由此定義，對比新版優(yōu)化大師的行徑，相信大家自會有所明斷。

            在CNBETA發(fā)文之后，優(yōu)化大師官方迅速推出了V7.93 .9.305版本，將游戲大廳修改為安裝可選項，但據(jù)網(wǎng)友反饋，其篡改搜索引擎的行徑卻依舊故我，其它幾項暫未做檢測，故不加評論。

            因仍有許多已安裝V7.93 .9.303版本的網(wǎng)友不知如何修復被篡改的系統(tǒng)，故在此提出簡單修復解決辦法，僅供參考

           當然了，修復的前提是先卸載掉此版本優(yōu)化大師~~

          針對前文所述4項內(nèi)容，進行以下修復：
          第1項可自行刪除C:\Program Files\GAMEHALL文件夾及開始菜單快捷方式；
           第2項可在卸載優(yōu)化大師后，在IE的INTERNET選項中自行修改（WIN7系統(tǒng)最好同時勾選“阻止程序建議對默認搜索提供程序進行的更改”），之后手動清理注冊表以上所列項目；
         第3項需修復注冊表以下兩項：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\User Shell Folders\Cookies
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies

VISTA、WIN7下修改為%USERPROFILE%\AppData\Roaming\Microsoft\Windows\Cookies

XP下將兩項分別修改為C:\Documents and Settings\LocalService\Cookies和%USERPROFILE%\Cookies

重啟電腦后刪除所有盤符要目錄下的Software文件夾；

         第4項因筆者水平有限，暫無解決辦法.【大家可以不安裝，安裝一些其它的系統(tǒng)設置軟件】

最新評論