优化大师流氓行径分析及修复方案

近日,曾经在国内猖獗一时、为人所痛恨不耻,而经过网络环境净化已渐趋消声匿迹的“流氓软件”一词,又在网络上大面积出现,而此次,这个词指向的却是一个久负盛名、在各大下载网站长期驻守下载量第一名、在国内收费软件中销量排名也是第一、很多人装机必备的系统检测、优化软件:WINDOWS优化大师。

自优化大师推出V7.93 .9.303版本以后,不少安装此版本的用户随即发现,自己的电脑中多了一些不明文件及程序,并且搜索引擎被强行篡改,随即纷纷到优化大师官方论坛提出问题、寻求解答。但众多用户的反映却未收到官方任何回应,反而被一一删帖。直到有气愤不过的网友在CNBETA投递并刊发“强制百度搜索

添加可疑文件优化大师全面转型流氓大师”一文,引起各方关注,官方才匆匆发出一个公告,但此公告却只是“正式”地声明并隆重介绍了一下它推出的新游戏程序,对网友反应的其它问题却只字未提。

下面我们就来看看这个新版的“优化大师”是怎样在用户毫不知情的情况下对用户电脑进行“优化”的:

1、强制安装GAMEHALL 游戏大厅:

默认安装在C:Program FilesGAMEHALL,并在开始菜单添加快捷方式。

2、强制添加并篡改IE搜索引擎:

安装新版Windows优化大师后,即使不选择任何设置,系统注册表会被修改,添加和修改的内容如下(此项内容引用网友评测):

[HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearch]

“CustomizeSearch”=”http://www.baidu.com/baidu?tn=youcome\_pg"

“SearchAssistant”=”http://www.baidu.com/baidu?tn=youcome\_pg"

[HKEY_LOCAL_MACHINESOFTWAREWom]

“Masters”=”0F0F0F0F”

“Wopti P2P Library”=”V:WoptiUtilitiesWoptiP2P.dll”

“Wopti Utilities”=”V:WoptiUtilitiesWoptiUtilities.exe”

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearchScopes]

“DefaultScope”=”Baidu”

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearchScopes{24588FA4-10F1-41D7-B19D-6E22361E47FA}]

“URL”=”http://www.baidu.com/s?tn=youcome\_pg&ie=UTF-8&wd={searchTerms}&cl=3"

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearchScopesBaidu]

“Codepage”=dword:0000FDE9 “DisplayName”=”百度搜索”

“SortIndex”=dword:FFFFFFFD “URL”=”http://www.baidu.com/s?tn=youcome\_pg&ie=UTF-8&wd={searchTerms}&cl=3"

[HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearchScopesGoogle]

“Codepage”=dword:000003A8 “DisplayName”=”谷歌搜索”

“SortIndex”=dword:FFFFFFFE “URL”=”http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr="

[HKEY_CURRENT_USERSoftwareMicrosoftWindows]

“Verion”=”0013E86C8919”

[HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnections]

“SavedLegacySettings”=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00, 00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01, 01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00 [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones3]

“1803”=dword:00000001 同时中途可能会连接以下不明网址:

www.930930.com www.304304.com www.072072.com 072072.com www.146146.com 146146.com 397397.com 265.com liveupdate.baidu101.com 3、强行修改注册表并劫持COOKIES:

安装新版Windows优化大师后,会在用户电脑系统盘及优化大师安装盘根目录下生成无法删除的文件夹Software,里面都包含好几层文件夹及隐藏文件

X:SoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Foldersindex.dat(X代表所在盘符,下同),同时,修改注册表以下两项:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell FoldersCookies HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersCookies 为X:SoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Foldersindex.dat 此项内容的目的正是为了隐藏其在后台偷偷链接某些不明网站的行径,掩饰那些不停生成、快速增长的cookies文件,而强行将用户COOKIES劫持到新生成的Software文件夹,只不过,因为技术人员的一时马虎,忘了将最外层的Software文件夹也加上“隐藏”属性,才暴露无遗……

4、API HOOK:

安装新版优化大师后,会将系统入口点FindFirstFileExW挂钩至0xB8ED3A26模块。

此项为网友反馈,因笔者水平有限,对此不甚了解,搜索网络也未见有相关模块信息,还希望有技术高手继续研究分析出其实质。

下面是提供的解决方案: 针对前文所述4项内容,进行以下修复:

第1项可自行删除C:Program FilesGAMEHALL文件夹及开始菜单快捷方式;

第2项可在卸载优化大师后,在IE的INTERNET选项中自行修改(WIN7系统最好同时勾选“阻止程序建议对默认搜索提供程序进行的更改”),之后手动清理注册表以上所列项目;

第3项需修复注册表以下两项:

HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell FoldersCookies HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersCookies VISTA、WIN7下修改为%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies XP下将两项分别修改为C:Documents and SettingsLocalServiceCookies和%USERPROFILE%Cookies 重启电脑后删除所有盘符要目录下的Software文件夹;

第4项因本人水平有限,暂无解决办法. 如果有人能提供解决方便,请与我联系.