近日,曾經在國內猖獗一時、為人所痛恨不恥,而經過網絡環境凈化已漸趨消聲匿跡的“流氓軟件”一詞,又在網絡上大面積出現,而此次,這個詞指向的卻是一個久負盛名、在各大下載網站長期駐守下載量第一名、在國內收費軟件中銷量排名也是第一、很多人裝機必備的系統檢測、優化軟件:WINDOWS優化大師。
自優化大師推出V7.93 .9.303版本以后,不少安裝此版本的用戶隨即發現,自己的電腦中多了一些不明文件及程序,并且搜索引擎被強行篡改,隨即紛紛到優化大師官方論壇提出問題、尋求解答。但眾多用戶的反映卻未收到官方任何回應,反而被一一刪帖。直到有氣憤不過的網友在CNBETA投遞并刊發“強制百度搜索 添加可疑文件 優化大師全面轉型流氓大師”一文,引起各方關注,官方才匆匆發出一個公告,但此公告卻只是“正式”地聲明并隆重介紹了一下它推出的新游戲程序,對網友反應的其它問題卻只字未提。
做為多年的優化大師使用者,筆者也是第一時間趕到官方論壇,本著對優化大師多年良好聲譽的信任,積極提出問題現象并綜合網友討論提出了一些解決辦法,然而,卻遭受到了刪貼、封IP、鎖ID的待遇。一個“優秀”軟件的官方論壇竟然這樣對待用戶的意見反應,不禁令筆者疑竇叢生,于是對此版本軟件進行了詳盡測試,并參考一些網友的反饋,得出結果令人大跌眼鏡。下面我們就來看看這個新版的“優化大師”是怎樣在用戶毫不知情的情況下對用戶電腦進行“優化”的:
1、強制安裝GAMEHALL 游戲大廳:
默認安裝在C:/Program Files/GAMEHALL,并在開始菜單添加快捷方式。
2、強制添加并篡改IE搜索引擎:
安裝新版Windows優化大師后,即使不選擇任何設置,系統注冊表會被修改,添加和修改的內容如下(此項內容引用網友評測):
[HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Search]
"CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg"
"SearchAssistant"="http://www.baidu.com/baidu?tn=youcome_pg"
[HKEY_LOCAL_MACHINE/SOFTWARE/Wom]
"Masters"="0F0F0F0F"
"Wopti P2P Library"="V://WoptiUtilities//WoptiP2P.dll"
"Wopti Utilities"="V://WoptiUtilities//WoptiUtilities.exe"
[HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/SearchScopes]
"DefaultScope"="Baidu"
[HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/SearchScopes/{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
"URL"="http://www.baidu.com/s?tn=youcome_pg&ie=UTF-8&wd={searchTerms}&cl=3"
[HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/SearchScopes/Baidu]
"Codepage"=dword:0000FDE9
"DisplayName"="百度搜索"
"SortIndex"=dword:FFFFFFFD
"URL"="http://www.baidu.com/s?tn=youcome_pg&ie=UTF-8&wd={searchTerms}&cl=3"
[HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/SearchScopes/Google]
"Codepage"=dword:000003A8
"DisplayName"="谷歌搜索"
"SortIndex"=dword:FFFFFFFE
"URL"="http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="
[HKEY_CURRENT_USER/Software/Microsoft/Windows]
"Verion"="0013E86C8919"
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Connections]
"SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,/
00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,/
01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Internet Settings/Zones/3]
"1803"=dword:00000001
同時中途可能會連接一些不明網址:
3、強行修改注冊表并劫持COOKIES:
安裝新版Windows優化大師后,會在用戶電腦系統盤及優化大師安裝盤根目錄下生成無法刪除的文件夾Software,里面都包含好幾層文件夾及隱藏文件 X:/Software/Microsoft/Windows/CurrentVersion/Explorer/User Shell Folders/index.dat(X代表所在盤符,下同),同時,修改注冊表以下兩項:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/User Shell Folders/Cookies
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders/Cookies
為X:/Software/Microsoft/Windows/CurrentVersion/Explorer/User Shell Folders/index.dat
此項內容的目的正是為了隱藏其在后臺偷偷鏈接某些不明網站的行徑,掩飾那些不停生成、快速增長的cookies文件,而強行將用戶COOKIES劫持到新生成的Software文件夾,只不過,因為技術人員的一時馬虎,忘了將最外層的Software文件夾也加上“隱藏”屬性,才暴露無遺……
4、API HOOK:
安裝新版優化大師后,會將系統入口點FindFirstFileExW掛鉤至0xB8ED3A26模塊。
此項為網友反饋,因筆者水平有限,對此不甚了解,搜索網絡也未見有相關模塊信息,還希望有技術高手繼續研究分析出其實質。
至此,真相大白……
我們再來復習一下流氓軟件(惡意軟件)的官方定義:是指在未明確提示用戶或未經用戶許可的情況下,在用戶計算機或其他終端上安裝運行,侵犯用戶合法權益的軟件,但已被我國現有法律法規規定的計算機病毒除外。 其具有如下特點:強制安裝、難以卸載、瀏覽器劫持、廣告彈出、惡意收集用戶信息、惡意卸載、惡意捆綁等。
由此定義,對比新版優化大師的行徑,相信大家自會有所明斷。
在CNBETA發文之后,優化大師官方迅速推出了V7.93 .9.305版本,將游戲大廳修改為安裝可選項,但據網友反饋,其篡改搜索引擎的行徑卻依舊故我,其它幾項暫未做檢測,故不加評論。
因仍有許多已安裝V7.93 .9.303版本的網友不知如何修復被篡改的系統,故在此提出簡單修復解決辦法,僅供參考
當然了,修復的前提是先卸載掉此版本優化大師~~
針對前文所述4項內容,進行以下修復:
第1項可自行刪除C:/Program Files/GAMEHALL文件夾及開始菜單快捷方式;
第2項可在卸載優化大師后,在IE的INTERNET選項中自行修改(WIN7系統最好同時勾選“阻止程序建議對默認搜索提供程序進行的更改”),之后手動清理注冊表以上所列項目;
第3項需修復注冊表以下兩項:
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/User Shell Folders/Cookies
HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Explorer/Shell Folders/Cookies
VISTA、WIN7下修改為%USERPROFILE%/AppData/Roaming/Microsoft/Windows/Cookies
XP下將兩項分別修改為C:/Documents and Settings/LocalService/Cookies和%USERPROFILE%/Cookies
重啟電腦后刪除所有盤符要目錄下的Software文件夾;
第4項因筆者水平有限,暫無解決辦法.【大家可以不安裝,安裝一些其它的系統設置軟件】
