删除文件前请用APPMAN先关闭线程starter.exe 和smserv.app
或者删除c:\system\recogs\801009.mdl文件后重启动手机。再删除其他文件。

已知出现的问题短信息丢失,自动发信息。
流氓软件(LOGO.EXE,smserv.app)分析
根据网友ririx发的帖子
http://96851.com/thread-315433-1-1.html
简单分析了一下此软件中的流氓软件
安装文件中包含
logo.exe  4252字节
themes.dat 21528字节
根据文件看来很可能原来的主题流氓软件也是这两个文件
将这两个文件打入安装包中,并在安装完成后运行LOGO.EXE
大多人可能以为此LOGO.EXE是一个类似于BINPDA.EXE的显示图像,
但是你会在运行后发现什么也没有显示,
其实这个LOGO.EXE在后台将THEMES.DAT解包,这个文件是个ZIP格式的文件。
里面包含6个文件,
zagmdl.mdl将会以文件801009.mdl保存到c:\system\recogs\用来开机自动运行
其他5个文件会保存到c:\system\data\下面,当程序运行后还会生成一些**文件
最保险的方式是格机。但是删除下面的文件应该也可以。删除文件后暂时还没有发现
发信息的问题
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
C:\system\data\smserv.app
c:\system\data\Tid.txt
流氓软件运行方式,手机启动后会自动加载c:\system\recogs\和e:\system\recogs\来找自动启动
的程序,并启动它。
801009.mdl会调用starter.exe来运行一个后台进程,
starter.exe会调用smserv.app来自动发送信息
因为只是简单的分析,没有分析发送信息的内容和发送给谁。
==========================================================
怎样预防
下载软件时最好先看一下下面的网友的评论,如果你是第一个下载的就要小心提防了。
可以先使用UNMAKESIS将程序解开,看看有没有安装后自动运行的程序。如果有最好能弄清楚是否流氓软件。
再就是看看安装程序有没有向e:\system\recogs\和c:\system\recogs\放文件来实现自动运行。
一点说明
c:\system\recogs或者e:\system\recogs目录下面的文件有两种
1.注册对应的文件类型,可以在文件管理器里面直接打开文件,就好像PC上双击RMVB文件会自动调用暴风影音一样。
如:智能影院里面的101feaf9.mdl,我安装的是3.40
2.自动运行程序,可以实现手机启动后自动启动程序
如:好帮手里面的MhAuto.mdl。
所以c:\system\recogs或者e:\system\recogs目录下面的文件下面的文件不一定全是有害的,但是流氓软件为了实现自动运行一定会向c:\system\recogs或者e:\system\recogs目录下面保存文件的。
如果你安装的程序没有自动启动功能,但是向这两个目录下面放文件了,那就要小心了。
或者软件运行一次后,这两个目录下面多了文件,这是这个软件运行后才释放的流氓程序,也要小心

[编程浪子]
沙发!!哈哈
支持浪子

[mfj523]
确实,最近会员反映得多的就是这个问题[yaoyao2993]
呵呵~~~我也中过,在主题区的一个主题里。当时那里面还捆绑了一个小游戏。
后来也是逐个把这些文件全删了,连文件名都一样的。

马上查了订阅的梦网业务,好像也没事啊?过后几天也没有收到任何不良信息?~~
难道要等月结的时候才知道有没有出事?最近在搞这些的人越来越多了,能不能抓出来严惩啊![GENIX]

回复 #4 GENIX 的帖子

这个难啊,有些会员发布的时候可能不知道有这个呢!最讨厌的就是那些SP[yaoyao2993]
感谢浪子[4side]
看看手机上有没有,谢谢[一起飞]
支持浪子[joyes5965]
[79603512]
流氓软件向手机进攻啦,[snipercheng]
我上次下了个屏保 居然也要收费 安装后手机还自动发出消息 幸亏我运营商是手动选择的 要不就亏了[zjj60722]
支持,前一阵出现这种情况。自己解决了。呵。[wangshicong]
感谢浪子[c8801372]
浪子[gloves]
支持 兄弟辛苦了 [我已崩溃]
[yexinglucky]
支持~~最近下了个主题..安装后就存不了信息了~~安装前的信息都还在.之后收到的信息.重启手机就不见了~[haiher001]
的确是这样 以后大家如果不确定软件的内容可以用unmakesis sistools之类的软件将sis文件解包 如果发现有mdl 以及wap网站的连接文件 请注意了[HiVi]
Hivi最近忙什么啊?好久不见[snipercheng]
引用:
原帖由 snipercheng 于 2007-2-8 19:36 发表
Hivi最近忙什么啊?好久不见
忙工作了 毕业后累人啊
[HiVi]
这个破东西 害得我硬格了一次[deforest]
。。。还好我没装[没有说话]
谢谢浪子分析,这种SP商一定要投诉并且告它![sammy6688]
我手机里面真的有
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
这三项,手机刚自动发了三条去12982110,今天下了几个迷糊娃娃的主题,进C盘删了重启手机里面就没有了,没格机,明天看看了,谢谢[一起飞]
支持浪子[hyxhhh826]
LZ强[orochi123]
谢谢浪子的研究!给广大机友提了个醒[hanpengfei70]
支持支持啊~~~~~~~~~~~~~~~~~[Ngod]
支持浪子,希望浪子到3rd版出研究成果![TYDY999]
谢谢,学习学习~[segalgx]

Tags:流氓软件 短信息丢失,自动发信息(LOGO.EXE,smserv.app)分析,Series60技术,series60-ji-shu

•"流氓软件 短信息丢失,自动发信息(LOGO.EXE,smserv.app)分析"的其他文章
上篇«6670死机~~
下篇»N72 新版本 行货软件无法安装??

Leave a Reply



Copyright © 2008 96851.COM All rights reserved. | xhtml | css
本站所有言论和内容均来自网上,版权归原作者,与本站无关.