雅虎圣战

februarykid · 发表于 2006-4-19 23:08:25

全面剖析雅虎助手以及网络实名的流氓行径 
马云走马上任之后，推出了雅虎助手，本来以为雅虎助手和以前的上网助手能有一些不同，细细分析起来，流氓习气有过之而无不及，全面揭露，触目惊心！ 
雅虎助手真的能够卸载干净吗？ 
网络实名真的仅仅是一个中文上网这么简单吗？ 
雅虎助手对网络甚至对国家安全的危害仅仅是您目前所认识到的吗？ 
雅虎助手自称的“详细技术情况”真的给您知情权了吗？ 
雅虎助手真的是您的什么“助手”吗？ 
雅虎助手作为一种可自动安装的、普及率极广的一种网络程序，近年来对之的争议颇多。本文试图从安装、卸载工、服务、系统影响等各个方面列举系列客观事实，有关观点仅代表笔者个人意见，拿出来与大方之家商榷，相信大家见仁见智各有自己的结论，同时也希望以此引起有关部门的注意。 
测试环境：VMWare虚拟机，共享主机连接，以独立的公网IP地址上网；操作系统为Windows XP Pro SP2，默认安装，仅以直接复制的方式拷贝了测试所必须的文件管理程序Total Commander、注册表跟踪工具Advanced Registry Tracer、抓图工具UltraSnap、打字必须的极点五笔输入法，未安装其他任何软件。 
一、雅虎助手安装剖析 
1、安装推广由“反复提示”式为主为转向捆绑为主 
自从Windows XP SP2推出加强的安全特性后，以前频繁出现的雅虎助手安装提示被进行了有效抑制（图1），因此其推广安装方式除传统的通过浏览器植入安装、直接下载安装外，又开拓了在某些共享软件和免费软件中捆绑的方式进行安装（图2）。新的捆绑安装方式，虽然有安装选项，但对于习惯了“一路回车法”安装软件的用户，被顺手装入系统的可能性极大！ 
图1 Windows XP SP2的安全机制给雅虎助手的安装带来不便 
<img src="http://www1.donews.com/disk.files/db4a1766c395480fd973a96c6105f86e" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/db4a1766c395480fd973a96c6105f86e');}" onmousewheel="return imgzoom(this);"> 
 
图2 通过免费或共享软件的捆绑并默认安装 
<img src="http://www1.donews.com/disk.files/bfb7adf7a99438807f685ad24c7dd7fd" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/bfb7adf7a99438807f685ad24c7dd7fd');}" onmousewheel="return imgzoom(this);"> 
 
如果被安装上雅虎助手，则实际上同时被植入系统的并非雅虎助手一个程序，而是同时另外被静默地植入了“网络实名”和“雅虎邮箱通”这两套独立的程序（图3）。 
<img src="http://www1.donews.com/disk.files/2a7550fa14704e90f8a12992cf7499bb" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/2a7550fa14704e90f8a12992cf7499bb');}" onmousewheel="return imgzoom(this);"> 
 
卸载雅虎助手时，额外植入的两套程序不会被卸载；卸载每一套程序时，卸载对话框中都添加保留另外模块的选项，以实现非刻意卸载情况下的自我交叉修复。 
3、完善的自我保护机制 
从安装、保护、卸载、修复几个环节来看，各个环节环环相扣（图4），任何一环没有正确处理，则就无法实现表面的干净卸载（真正彻底卸载除非手工清理，否则无法实现完全卸载，，后文详述） 
图4 各个环节的保护机制环环相扣，清除不易 
<img src="http://www1.donews.com/disk.files/221c819fabe4a80a62e7cfb77d73a2c3" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/221c819fabe4a80a62e7cfb77d73a2c3');}" onmousewheel="return imgzoom(this);"> 
 
二、雅虎助手提供的“贴心”服务提供剖析 
号称提供各种贴心服务，其服务项目所标示的功能也非常的吸引人。我们对其中几项进行了简单测试，看看雅虎助手到底提供的是一些什么性质、什么质量的“服务”。 
1、贴心功能不贴心 
不少人看中了雅虎助手的弹出广告过滤功能。让我们看看真实情况！ 
用 
<a href="http://www.kephyr.com/popupkillertest" target="_blank"> 
 
http://www.kephyr.com/popupkillertest 
 
</a> 
的专业测试页面进行弹出窗口过滤测试。为避免干扰，先关闭Windows XP SP2本身的弹出窗口过滤功能（没有人会说雅虎助手的弹出窗口过滤是依赖Windows XP的SP2相关功能实现的吧？！）。 
测试结果，27项测试中，未能通过的有：第3项、第6项（1、2）、第8项、第9项、第10项、第11项、第12项、第16项、第17项、第20项、第21项、第22项、第24项、第26项、第27项（1、2、3），共计未通过测试的有15项（18种），过滤失败的项目占整体的55%，失败的种类占整体的66%（图5）。即按百分制评判，雅虎助手的弹出窗口过滤能力连及格分都没有捞到！ 
而启用Windows XP SP2的弹出窗口过滤功能，或者使用Maxthon等具有弹出窗口过滤功能的第三方浏览器，同样的项目测试结果就截然不同！具体情况笔者暂不提供，大家可以自己测试对比一下，以便好好体会这位“助手”的能力！ 
图5 弹出窗口过滤测试中惨不忍睹的过滤结果 
<img src="http://www1.donews.com/disk.files/dbc50898cf582dfebd6d7adf4eaf9eb6" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/dbc50898cf582dfebd6d7adf4eaf9eb6');}" onmousewheel="return imgzoom(this);"> 
 
2、“清理痕迹”清理了谁的痕迹？ 
图6是雅虎助手的“清理痕迹”功能测试。执行清理并得到“当前没有网址记录！”的结果，但打开浏览器的历史侧边栏，结果如何？ 
图6“痕迹清理”清理了谁的痕迹？ 
<img src="http://www1.donews.com/disk.files/90ccff101868bc666420b5a026945d3a" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/90ccff101868bc666420b5a026945d3a');}" onmousewheel="return imgzoom(this);"> 
 
3、插件管理专家别有私心 
打开雅虎助手的插件管理专家，其中仅仅“虚心”地把雅虎相册（Yahoo!Photo）列了出来；但打开浏览器的加载项对话框，雅虎助手和雅虎助手植入的十几个加载项却赫然在目（图7）！别家的插件算插件，自己偷偷植入的众多玩艺一律不算插件，这是什么逻辑？！ 
图7“插件管理专家”对自己植入的垃圾插件视而不见 
<img src="http://www1.donews.com/disk.files/f0ade77b43923b38237db569b016ba25" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/f0ade77b43923b38237db569b016ba25');}" onmousewheel="return imgzoom(this);"> 
 
4、把自己的“雅虎搜索”右键菜单视为系统默认菜单 
再看看“恢复IE外观”中的“清理IE右键菜单”功能。清理后，报告“没有可清理的菜单！” 
但实际上，在浏览器中右击鼠标，“雅虎搜索”的雅虎助手附加的菜单项已经如同系统默认菜单项那样被保存下来（图8）。 
图8 雅虎助手自动添加的右键菜单不算清理对象 
[img]4、把自己的“雅虎搜索”右键菜单视为系统默认菜单 
再看看“恢复IE外观”中的“清理IE右键菜单”功能。清理后，报告“没有可清理的菜单！” 
但实际上，在浏览器中右击鼠标，“雅虎搜索”的雅虎助手附加的菜单项已经如同系统默认菜单项那样被保存下来（图8）。 
图8 雅虎助手自动添加的右键菜单不算清理对象 
<img src="http://www1.donews.com/disk.files/15134fabce1af48f50bc470ddfacdf56" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/15134fabce1af48f50bc470ddfacdf56');}" onmousewheel="return imgzoom(this);"> 
 
5、自欺欺人的“清理IE工具条” 
试试“清理IE工具条”的效果如何。清理后，报告“没有可清理的工具条！”，但IE工具栏上被雅虎助手自动植入的那个带有扫把图标的工具条和其他几个按钮好好的毫发无损（图9）。难道它自己的这些就不属于系统之外的第三方工具条吗？工具栏按钮清理也是如此。 
图9 雅虎助手自己的工具条不算清理对象 
<img src="http://www1.donews.com/disk.files/76d0863b5d13a9ed61f7df9149fb93d8" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/76d0863b5d13a9ed61f7df9149fb93d8');}" onmousewheel="return imgzoom(this);"> 
 
6、IE工具栏“重置”功能不能重置雅虎助手植入的工具栏按钮 
既然雅虎助手拒绝给我干活，那么就用IE本身的功能设置来恢复工具栏按钮吧。 
打开自定义工具栏对话框，点击“重置”，那些被强行植入的按钮闪动了一下，片刻又立即得到恢复（图10）。 
<img src="http://www1.donews.com/disk.files/917fac06d4daae681dabfe964ca8c74e" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/917fac06d4daae681dabfe964ca8c74e');}" onmousewheel="return imgzoom(this);"> 
 
系统的基本功能在雅虎助手的作用下已经部分失效！ 
7、对系统稳定性的影响 
在虚拟机环境下，直接在浏览器地址栏输入“清华大学”进行搜索，前后测试6次，每次都是立即蓝屏（图11）。 
虽然虚拟机环境与真实环境可能有一些差异，但虚拟机对内存要求较高，系统资源占用较大，据此我们不能确定在真实系统环境也是如此，但起码可以确定，雅虎助手对系统资源的分配肯定存在某种负面影响（或者是存在某种BUG），在对资源需求较大时，会对系统产生不利影响。 
<img src="http://www1.donews.com/disk.files/983ae26f39a307ccb2d5e0cb5f752ee5" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/983ae26f39a307ccb2d5e0cb5f752ee5');}" onmousewheel="return imgzoom(this);">

februarykid · 发表于 2006-4-19 23:08:49

三、雅虎助手对系统的写入情况剖析 
根据网络实名网站自称的“详细技术原理”，我们看看真实情况是否如网站上所告知的那样。图12是其对用户告知的内容。在随后的检测项目中，我们看看它“详细”到什么程度，用户和知情权体现在什么地方。 
图12 网络实名的“详细技术原理” 
<img src="http://www1.donews.com/disk.files/3f73c265c3fda8f14254bd1765916d05" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/3f73c265c3fda8f14254bd1765916d05');}" onmousewheel="return imgzoom(this);"> 
 
除了有专门的程序文件夹，雅虎助手还在Windows Downloaded Program Files目录以隐藏的方式保存其文件以便快速修复；在系统驱动程序目录植入驱动程序文件并保证安全模式（即使你不上网！）也能够被加载并且不能被直接删除（图13、图14）。 
①安装网络实名后的文件植入情况： 
●Windows Downloaded Program Files目录被植入37个文件1个文件夹； 
●Windows System32 Drivers目录植入CnMinPK.sys驱动程序文件。 
●Program Files目录植入目录名为雅虎助手，共含15个文件和1个文件夹。 
共计植入53个文件和2个子文件夹。 
②安装雅虎助手后的文件植入情况： 
●Windows Downloaded Program Files目录被植入30个文件1个文件夹； 
●Windows System32 Drivers目录植入CnMinPK.sys驱动程序文件。 
●Program Files目录植入目录名为雅虎助手，共含79个文件和7个文件夹。 
共计植入114个文件和9个子文件夹。 
图13 以驱动方式植入系统，安全模式也能生效 
1、向系统植入的文件 
<img src="http://www1.donews.com/disk.files/a7dc07edeca4a16b2b8e0eaae142415d" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/a7dc07edeca4a16b2b8e0eaae142415d');}" onmousewheel="return imgzoom(this);"> 
 
2、图14 Windows资源管理器中无法查看的隐藏文件和目录 
<img src="http://www1.donews.com/disk.files/c33ef4454daf70780820e714a3fcce8f" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/c33ef4454daf70780820e714a3fcce8f');}" onmousewheel="return imgzoom(this);"> 
 
、写入的注册表项目 
据安装前后的注册表导出比较后得出的不完全统计，系统注册表被写入的内容大致如下（因浏览网页等操作会导致动态修改，因此可能会有一些误差）： 
安装网络实名后，注册表中被写入122个键项、408个键值； 
安装雅虎助手后，注册表中被写入251个键项、656个键值。 
遗憾的是，按正确的方法卸载、重启后注册表项目仍然无法全部被清除！ 
3、多种途径实现的自动加载项 
网络实名和雅虎助手声明以标准系统接口实现自动加载，而且将这些标准接口利用得淋漓尽致！ 
⑴雅虎助手在注册表HLM下面的Run键项中添加CnsMin、helper.dll、MiniMsgr、yassistse、YLive等多个自动加载模块，而且卸载、重启后仍然存在（图15）； 
⑵通过驱动程序模式加载CnMinPK.sys模块，实现进程隐藏，并且通过系统本身的Msconfig无法检测； 
⑶通过其多个模块之间的相互修复和守护实现，实现交叉安装、修复、加载； 
⑷通过嵌入浏览器帮助对象，实现功能的自动加载； 
⑸通过各模块卸载对话框中的修复选项，诱导用户在卸载某个模块的同时，修复和自动加载另一些模块； 
⑹通过捆绑到某些第三方安装程序，在安装过程中实现自动安装和自动加载。 
图15 卸载后仍然自动重启的模块 
<img src="http://www1.donews.com/disk.files/a5a0902ee31d6265b026c53ea428d284" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/a5a0902ee31d6265b026c53ea428d284');}" onmousewheel="return imgzoom(this);"> 
 
、自我守护的进程 
如图16，安装雅虎助手后，任务列表中会存在三个进程，其中以Rundll32.exe显示的两个进程可以实现自动交叉修复，即一个进程是另外一个进程的守护进程。因此，使用Windows任务管理器是无法顺利将它们从内存中关闭的，这点相信多数人深有体会！ 
图16 创建多个进程并且可自我守护 
<img src="http://www1.donews.com/disk.files/3a06105cf87a4a0d2b22ca218aca4783" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/3a06105cf87a4a0d2b22ca218aca4783');}" onmousewheel="return imgzoom(this);"> 
 
5、植入系统的浏览器加载项 
图17是雅虎助手自动植入系统中的多个浏览器加载项。用户的浏览器成为几大公司发财的财源基地。余下的就差没有拿着刀子上门直接抢钱了 
6、自动植入浏览器工具栏的多种无关按钮 
呵呵，安装后，浏览器上什么Yahoo!等乱七八糟的按钮一股脑儿给你安装上了，甚至连资源管理器也没有放过。 
7、控制面板添加删除程序列表中的多余项目 
在未被明确告知的情况下，安装雅虎助手后，控制面板的添加删除程序列表中会额外加入两个程序项目。 
8、植入系统的系统服务表 
使用IceSword这款安全工具检测系统服务描述表（SSDT），可以发现除Ntoskrnl.exe这个系统内核外，就是网络实名和雅虎助手的“CnsMinKP.sys”了。搞编程的人知道这做到了什么级别，普通网民反正“眼不见为净”。可见功夫真的下到了家了！（图18） 
<img src="http://www1.donews.com/disk.files/61940b7bc12af1ceb9b3d3754634ae3e" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/61940b7bc12af1ceb9b3d3754634ae3e');}" onmousewheel="return imgzoom(this);"> 
 
从图可以看出，雅虎助手及其模块自动创建的线程数之多，在系统总体线程数的比例上是多得令人吃惊的！该图为未打开任何浏览器以及其他相关窗口情况下的线程创建情况（部分需滚动才能查看）（图19） 
<img src="http://www1.donews.com/disk.files/799974951f19a0c730acda2389cc852b" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/799974951f19a0c730acda2389cc852b');}" onmousewheel="return imgzoom(this);"> 
 
有兴趣的人可以看看图中的钩子类型，看看雅虎助手利用的大量钩子函数在干些什么。（图20） 
<img src="http://www1.donews.com/disk.files/75764a6c5b5f3007d5f6addf322fa7f1" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/75764a6c5b5f3007d5f6addf322fa7f1');}" onmousewheel="return imgzoom(this);"> 
 
11、植入浏览器右键菜单的“雅虎搜索”菜单项 
图21： 
<img src="http://www1.donews.com/disk.files/c87ee42d00306dcb6264ceda372b8a47" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/c87ee42d00306dcb6264ceda372b8a47');}" onmousewheel="return imgzoom(this);"> 
 
12、雅虎助手yassist4.exe打开本地1028端口，作用不明（图22） 
<img src="http://www1.donews.com/disk.files/2b0f6f86f6e028fd9164f0ea12d17ca7" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/2b0f6f86f6e028fd9164f0ea12d17ca7');}" onmousewheel="return imgzoom(this);"> 
 
13、植入Internet选项设置 
图是植入到Internet选项的“高级”设置的内容。看看，还有“自动升级”功能呢，有什么新的手段或主意了，再在您的系统中试试？（图23） 
<img src="http://www1.donews.com/disk.files/f2a4a21456fe5a4bfd3059fa3676a469" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/f2a4a21456fe5a4bfd3059fa3676a469');}" onmousewheel="return imgzoom(this);"> 
 
四、网络实名及雅虎助手卸载情况剖析 
有人在网卡撰文说雅虎助手现在可以通过其卸载程序干净地卸载了。事实情况真的是这样吗？请看—— 
1、“完全删除”和“完全卸载”的卸载承诺 
如图，无论网络实名还是雅虎助手，在卸载程序中都承诺“把雅虎助手从电脑中完全删除”和“完全卸载实名插件并关闭实名功能”。 
卸载界面的承诺（图24） 
<img src="http://www1.donews.com/disk.files/e66aed023cb30fdc29ca488de67c02da" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/e66aed023cb30fdc29ca488de67c02da');}" onmousewheel="return imgzoom(this);"> 
 
卸载不完全 
雅虎助手卸载成功并重启后，在资源管理器中无法看到Windows Downloaded Program Files文件夹中有任何文件（即使你将资源管理器设置为显示所有文件、显示系统文件）。但使用著名的Total Commander文件管理器，却发现有一个zsmod.dll的隐藏文件！ 
雅虎助手卸载重启后资源管理器无法看到的隐藏文件（图25） 
<img src="http://www1.donews.com/disk.files/c28cccd4486efb636bd7d753ca52d487" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/c28cccd4486efb636bd7d753ca52d487');}" onmousewheel="return imgzoom(this);"> 
 
如果是卸载雅虎助手，卸载成功并重启后，上述目录居然隐藏有30个文件1个文件夹！ 
雅虎助手卸载重启后系统目录中隐藏的大量文件（Windows资源管理器无法以任何方式查看到，Total Commander可显示）（图26） 
<img src="http://www1.donews.com/disk.files/4d230b683bf9840553ae57f4acc96e81" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/4d230b683bf9840553ae57f4acc96e81');}" onmousewheel="return imgzoom(this);"> 
 
以zsmod.dll为关键字在注册表编辑器中搜索，可以发现这个文件并非是一个被“遗忘”的死文件，而是有相应的注册表键值！ 
卸载重启后注册表中的保留键值（图27） 
<img src="http://www1.donews.com/disk.files/357861553d0db7307050a24ce16a8c64" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/357861553d0db7307050a24ce16a8c64');}" onmousewheel="return imgzoom(this);"> 
 
后，检测BHO（浏览器帮助对象），发现系统中仍然保留有YDT和CnsHook.dll这两个BHO对象！ 
卸载重启后仍然被保留的浏览器帮助对象模块：（图28） 
<img src="http://www1.donews.com/disk.files/e50f835e19789b8995b9bc6f8779f4e2" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/e50f835e19789b8995b9bc6f8779f4e2');}" onmousewheel="return imgzoom(this);"> 
 
卸载雅虎助手成功并重启后，检测自动加载项目，发现仍然存在helper.dll、YDTMain.exe、CnsMin三个自动加载的程序项目！（图29） 
<img src="http://www1.donews.com/disk.files/13dfe127c6d40641c7ad9fd60ef8701d" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/13dfe127c6d40641c7ad9fd60ef8701d');}" onmousewheel="return imgzoom(this);"> 
 
发现以驱动形式加载的CnsMinKP.sys仍然被成功加载！（图30） 
<img src="http://www1.donews.com/disk.files/6ca973f198a5d9b68fb6cf60a53156e8" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/6ca973f198a5d9b68fb6cf60a53156e8');}" onmousewheel="return imgzoom(this);"> 
 
载成功并重启后注册表中仍然保留CnsMinKP.sys的3处隐藏服务键值（图），使得卸载操作完全是一个骗局，其基本功能根本没有受到影响，至多是那个一般情况下显示在系统托盘的可以向用户提供“服务”的小图标不见了！当然，系统Drivers目录中的CnsMinKP.sys文件依然完好，没有受到任何破坏！（图31） 
<img src="http://www1.donews.com/disk.files/f18374bf891c9af64c8570448824202d" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/f18374bf891c9af64c8570448824202d');}" onmousewheel="return imgzoom(this);"> 
 
看看系统进程如何。如图，相互守护的Rundll32.exe共3个进程仍然静静地在那儿！ 
由此可见，上述就是所谓的“把雅虎助手从电脑中完全删除”的真相！ 
真的想把它们彻底清除吗？可以，手工在添加删除程序列表中把另外未被告知的两个雅虎助手强行安装的程序一一卸载（卸载时注意看清楚相关选项！否则可能又相互修复），此时绝大多数文件和注册表被清除。但Windows Downloaded Program Files文件夹中zsmod.dll的隐藏文件以及相关的注册表键值却永远不会被清除！（图32） 
<img src="http://www1.donews.com/disk.files/6d4cc77f57f9dddf6862cb7168a08d2f" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/6d4cc77f57f9dddf6862cb7168a08d2f');}" onmousewheel="return imgzoom(this);"> 
 
3、额外安装的两个模块必须另行卸载 
图33就是安装时未被明确告知就强行安装的、需要我们手工卸载的垃圾程序。（图33） 
<img src="http://www1.donews.com/disk.files/ed7ebf1d0e87774f12b2102e2cba4476" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/ed7ebf1d0e87774f12b2102e2cba4476');}" onmousewheel="return imgzoom(this);"> 
 
4、卸载过程中仍然试图交叉修复 
卸载这些额外程序模块的过程中，存在默认被选中的以“卸载”二字开头的一个选项： 
“卸载网络实名后保留上网助手等按钮” 
如果你操作中只看了前面半句，以为是选择了“卸载”它们，那你就错了！ 
由此可见雅虎对用户的心理和电脑使用习惯研究得非常透彻，能够利用的都充分利用了！（图34） 
<img src="http://www1.donews.com/disk.files/af50a8df9bf6c87ef204851a6a1d1918" border="0" onload="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onmouseover="if(this.width>screen.width*0.7) {this.resized=true; this.width=screen.width*0.7; this.style.cursor='hand'; this.alt='Click here to open new window\nCTRL+Mouse wheel to zoom in/out';}" onclick="if(!this.resized) {return true;} else {window.open('http://www1.donews.com/disk.files/af50a8df9bf6c87ef204851a6a1d1918');}" onmousewheel="return imgzoom(this);"> 
 
五、雅虎助手综合行为的法律、道德剖析 
1、雅虎助手及雅虎助手的道德层面剖析 
未经明确告知，强行植入其他程序模块。 
通过系统驱动的方式加载，安全模式亦无法避免。就连Windows都将带网络连接的安全模式作为一个单独的项目提供给用户，而雅虎助手则是青红皂白，不管用户是否使用网络，一律加载没商量！ 
2、雅虎助手及雅虎助手的法律层面剖析 
额外安装程序侵犯知情权； 
卸载卸载过程中以欺骗的手段保留未经用户许可的模块，而且相互交叉修复； 
自动感染、自动繁植、隐藏自身、占用系统资源、干扰用户上网活动、直接或间接向系统中带入不良数据、清除极其困难、通过多种途径自动加载……已经具有完整的病毒特征； 
3、雅虎助手及雅虎助手对国家安全及文化导向的影响 
由艰苦奋斗勤俭建国转向靡靡之音声色犬马的和平演变，只需借助雅虎助手； 
瓦解民众斗志，只需雅虎助手； 
占领中国的宣传阵地，只需利用雅虎助手； 
主导中国的网络安全命脉，只需掌握雅虎助手； 
转变中国网民的文化导向，只需借助雅虎助手； 
对中国发动网络瘫痪战，只需通过雅虎助手！ 
所有这些，雅虎助手已经在做了，而且做得很好！

阎唯文 · 发表于 2006-4-19 23:13:15

天啊,真是没情趣,大男人在公共场所用雅虎助手,算什么啊.

jeven · 发表于 2006-4-20 00:28:47

他妈的，有个简短点的summary么？

rags · 发表于 2006-4-20 01:59:23

简短点:
1:操
2:操蛋
3:真操蛋

petit · 发表于 2006-4-20 02:08:48

这个助手真的很麻烦，我可吃过大亏了，这辈子都怕了它了，都不知道怎么装上去的。卸也卸不掉。

februarykid · 发表于 2006-4-20 23:29:13

恶意软件清理助手需要大家的支持!
2006-3-28 阅读次数:17382
　最近有人在网上提出本软件携带病毒和插件，我们在这里再次郑重声明：本软件绝对不会捆绑任何插件！也不会携带任何病毒！请大家尽量到官方网站下载！

　大家可以下载专门的软件进行检测本软件是否携带病毒和插件！另外请大家注意：本软件的打包形式为rar直接打包，没有安装程序，请大家不要下载所谓的去广告版和破解版，因为在这些版本中很可能捆绑了插件！

　最近几天，我们接到Y公司的电话，声称因为我们的软件清理他们的所谓产品要告我们，希望大家能够在道义上声援我们，行动上支持我们！！我们在此表示感谢！据我们推测，最近网上出现的所谓本软件携带病毒和插件的传闻也是这个公司故意散播出来的，请大家不要相信这些谣言！

　　Tommsoft全体成员再次感谢大家的支持！

februarykid · 发表于 2006-4-20 23:30:35

Originally posted by jeven at 4-20-2006 00:28:
他妈的，有个简短点的summary么？

答案是，每天都比以前更长。
想找气受的可以去雅虎助手的官方论坛，那些版主简直太神了

据最新版的TOMMSOFT产品使用效果，雅虎助手估计又出新版了，我这机子上的用中断explorer.exe的强制清理也无效。

刻舟求剑 · 发表于 2006-4-21 09:58:09

我只想问那个TOMMSOFT可靠不，能不能去除干净．反正我这台机器再也不用装什么件了，再也不想看到Ｙ

饕餮 · 发表于 2006-4-23 00:12:30

妈的。刚装了个暴风影音就被强制带上一大堆垃圾。其中包括鸭唬助手。
要死。根本卸不了。
太。恶。心。了。！

februarykid · 发表于 2006-4-23 00:59:57

应该有去掉勾勾的选项吧，到了最后强制安装的应该只有ebay的link

februarykid · 发表于 2006-5-1 18:01:28

1.下载恶意软件清理助手：http://www.tommsoft.com/View.aspx?type=product&ID=2

2.下载Tomm闪电文件搜索：http://www.tommsoft.com/View.aspx?type=product&ID=8

3.下载木马克星破解版：http://www.xxjp.org/Software/catalog186/5314.html

4.运行恶意软件清理助手，检测清理一遍流氓软件，有提示清理失败先不用管；

5.安装木马克星→注册→用升级器升级到最新版本(这个破解版的刚开始运行的时候可能会出现错误，不要紧，多运行几次就好了)，点击“扫描硬盘”，选择你的系统所在分区，开始扫描；

6.木马克星扫描过程中会提示扫描到诸如3721*.dll、sn**.dll之类的文件，把文件名复制下来，运行“Tomm闪电文件搜索”，粘贴上文件名，搜索范围选择系统分区，点击“开始搜索”。搜索到以后在文件上点击右键，选择“打开所在的文件夹”(如操作无错误，应该是在系统分区的windows/winnt的Downloaded Program Files里)，然后把 3721*.dll、sn**.dll 之类的文件全部选中，删除；

7.打开系统分区的Program Files文件夹，找到 3721 目录，删除之；

8.重新启动电脑，再用恶意软件清理助手和木马克星扫描清理一遍系统，如果还提示有什么文件，就再用“Tomm闪电文件搜索”搜索到删除掉。

9. 重新启动电脑，应该已经清理干净了~

积木 · 发表于 2006-5-1 23:03:49

这种问题该怎么解决呢？

每次关闭IE时，它会显示

IE遇故障需关闭。故障发生时，下列加载项正在运行：
名称：yassist.dll
公司：Yahoo！
描述：Assist Module

然后IE就全部关闭了，即关了一个剩下的全部跟着关闭！！！！！！

饕餮 · 发表于 2006-5-2 12:15:58

Yahoo！是打算用这个软件来把自己搞臭吗？

		自动登录	找回密码
密码			注♥册