瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 瑞星防不住windows优化大师这个流氓!

1   1  /  1  页   跳转

瑞星防不住windows优化大师这个流氓!

瑞星防不住windows优化大师这个流氓!

最近发现windows优化大师V7.93 Build 9.303和305都是流氓软件,在注册表里乱添乱改,我的瑞星21.28.*的防御设置为最高(设为禁止自动放过签名程序)也没能拦住它修改注册表,瑞星提示拦截了日志修改,但优化大师依然得逞,瑞星加油啊。

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1)
最后编辑Hover9 最后编辑于 2009-03-10 15:59:28
分享到:
gototop
 

回复: 瑞星防不住windows优化大师这个流氓!

1、不是安装过程中的注册表修改,是每次windows优化大师运行时都修改,但我估计它安装时肯定也修改了。
2、修改内容包括但不限于:在IE7搜索框中添加“百度搜索”和“谷歌搜索”;修改默认搜索引擎为“百度搜索”;隐蔽安装“GAMEHALL”。
3、瑞星提示拦截了注册表修改事件,但实际上没有拦截成功,还好记录了日志。
4、我已经删除了windows优化大师(wopti),不想再现当时情景,还要手动修改注册表,很麻烦的,抱歉。
gototop
 

回复: 瑞星防不住windows优化大师这个流氓!

http://www.qqread.com/news/d454531.html
在官方论坛里的反映文章好像被删光了,有兴趣的自己搜搜看。
下转:
  近日,曾经在国内猖獗一时、为人所痛恨不耻,而经过网络环境净化已渐趋消声匿迹的“流氓软件”一词,又在网络上大面积出现,而此次,这个词指向的却是一个久负盛名、在各大下载网站长期驻守下载量第一名、在国内收费软件中销量排名也是第一、很多人装机必备的系统检测、优化软件:Windows优化大师。
  自优化大师推出V7.93.9.303版本以后,不少安装此版本的用户随即发现,自己的电脑中多了一些不明文件及程序,并且搜索引擎被强行篡改,随即纷纷到优化大师官方论坛提出问题、寻求解答。但众多用户的反映却未收到官方任何回应,反而被一一删帖。直到有气愤不过的网友在CNBETA投递并刊发“强制百度搜索 添加可疑文件优化大师全面转型流氓大师”一文,引起各方关注,官方才匆匆发出一个公告,但此公告却只是“正式”地声明并隆重介绍了一下它推出的新游戏程序,对网友反应的其它问题却只字未提。

  做为多年的优化大师使用者,笔者也是第一时间赶到官方论坛,本着对优化大师多年良好声誉的信任,积极提出问题现象并综合网友讨论提出了一些解决办法,然而,却遭受到了删贴、封IP、锁ID的待遇。一个“优秀”软件的官方论坛竟然这样对待用户的意见反应,不禁令笔者疑窦丛生,于是对此版本软件进行了详尽测试,并参考一些网友的反馈,得出结果令人大跌眼镜。下面我们就来看看这个新版的“优化大师”是怎样在用户毫不知情的情况下对用户电脑进行“优化”的:

  1、强制安装GAMEHALL 游戏大厅:
  默认安装在C:Program FilesGAMEHALL,并在开始菜单添加快捷方式。

  2、强制添加并篡改IE搜索引擎:
  安装新版Windows优化大师后,即使不选择任何设置,系统注册表会被修改,添加和修改的内容如下(此项内容引用网友评测):

  [HKEY_LOCAL_MACHINESOFTWAREMicrosoftInternet ExplorerSearch]
  "CustomizeSearch"="http://www.baidu.com/baidu?tn=youcome_pg"
  "SearchAssistant"=http://www.baidu.com/baidu?tn=youcome_pg
  [HKEY_LOCAL_MACHINESOFTWAREWom]
  "Masters"="0F0F0F0F"
  "Wopti P2P Library"="V:WoptiUtilitiesWoptiP2P.dll"
  "Wopti Utilities"="V:WoptiUtilitiesWoptiUtilities.exe"
  [HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearchScopes]
  "DefaultScope"="Baidu"
  [HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearchScopes{24588FA4-10F1-41D7-B19D-6E22361E47FA}]
  "URL"=http://www.baidu.com/s?tn=youcome_pg&ie=UTF-8&wd={searchTerms}&cl=3
   "Codepage"=dword:0000FDE9
  "DisplayName"="百度搜索"
  "SortIndex"=dword:FFFFFFFD
  "URL"=http://www.baidu.com/s?tn=youcome_pg&ie=UTF-8&wd={searchTerms}&cl=3
  [HKEY_CURRENT_USERSoftwareMicrosoftInternet ExplorerSearchScopesGoogle]
  "Codepage"=dword:000003A8
  "DisplayName"="谷歌搜索"
  "SortIndex"=dword:FFFFFFFE
  "URL"=http://www.google.com/search?hl=zh-CN&q={searchTerms}&lr=
  [HKEY_CURRENT_USERSoftwareMicrosoftWindows]
  "Verion"="0013E86C8919"
  [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsConnections]
  "SavedLegacySettings"=hex(03):46,00,00,00,70,01,00,00,01,00,00,00,00,00,00,
  00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,00,10,c5,58,13,73,7b,c9,01,
  01,00,00,00,7f,00,00,01,00,00,00,00,00,00,00,00,00,00,00,00
  [HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionInternet SettingsZones]
  "1803"=dword:00000001
  同时中途可能会连接以下不明网址:
  www.930930.com
  www.304304.com
  www.072072.com
  072072.com
  www.146146.com
    146146.com
    397397.com
  265.com
  liveupdate.baidu101.com

  3、强行修改注册表并劫持COOKIES:
  安装新版Windows优化大师后,会在用户电脑系统盘及优化大师安装盘根目录下生成无法删除的文件夹Software,里面都包含好几层文件夹及隐藏文件 X:SoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Foldersindex.dat(X代表所在盘符,下同),同时,修改注册表以下两项:
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell FoldersCookies
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersCookies
为X:SoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell Foldersindex.dat
  此项内容的目的正是为了隐藏其在后台偷偷链接某些不明网站的行径,掩饰那些不停生成、快速增长的cookies文件,而强行将用户COOKIES劫持到新生成的Software文件夹,只不过,因为技术人员的一时马虎,忘了将最外层的Software文件夹也加上“隐藏”属性,才暴露无遗……

  4、API HOOK:
  安装新版优化大师后,会将系统入口点FindFirstFileExW挂钩至0xB8ED3A26模块。
  此项为网友反馈,因笔者水平有限,对此不甚了解,搜索网络也未见有相关模块信息,还希望有技术高手继续研究分析出其实质。

  至此,真相大白……

  我们再来复习一下流氓软件(恶意软件)的官方定义:是指在未明确提示用户或未经用户许可的情况下,在用户计算机或其他终端上安装运行,侵犯用户合法权益的软件,但已被我国现有法律法规规定的计算机病毒除外。其具有如下特点:强制安装、难以卸载、浏览器劫持、广告弹出、恶意收集用户信息、恶意卸载、恶意捆绑等。

  由此定义,对比新版优化大师的行径,相信大家自会有所明断。

  在CNBETA发文之后,优化大师官方迅速推出了V7.93.9.305版本,将游戏大厅修改为安装可选项,但据网友反馈,其篡改搜索引擎的行径却依旧故我,其它几项暂未做检测,故不加评论。

  因仍有许多已安装V7.93.9.303版本的网友不知如何修复被篡改的系统,故在此提出简单修复解决办法,仅供参考

  当然了,修复的前提是先卸载掉此版本优化大师~~

  针对前文所述4项内容,进行以下修复:
  第1项可自行删除C:Program FilesGAMEHALL文件夹及开始菜单快捷方式;
  第2项可在卸载优化大师后,在IE的INTERNET选项中自行修改(WIN7系统最好同时勾选“阻止程序建议对默认搜索提供程序进行的更改”),之后手动清理注册表以上所列项目;
  第3项需修复注册表以下两项:

  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerUser Shell FoldersCookies
  HKEY_CURRENT_USERSoftwareMicrosoftWindowsCurrentVersionExplorerShell FoldersCookies

  VISTA、WIN7下修改为%USERPROFILE%AppDataRoamingMicrosoftWindowsCookies

  XP下将两项分别修改为C:Documents and SettingsLocalServiceCookies和%USERPROFILE%Cookies

  重启电脑后删除所有盘符要目录下的Software文件夹;
  第4项因笔者水平有限,暂无直接的解决办法。
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT