S60手机自动发短信的流氓软件分析与解决办法
近一段时间,连续看到有机友反应遭受手机流氓软件的侵害,症状一般是手机浏览器主页被篡改(默认主页是移动梦网,就是待机时长按0键),手机自动发送短信定制sp收费服务,目前已知造成短信息丢失、自动发信息问题的流氓软件LOGO.EXE,smserv.app,现分析如下:
一、检查机子中是否有流氓软件 当你的手机出现短信息丢失、自动发信息等问题,请检查一下有无以下文件,以确定你的机手是否安装了流氓软件:
1、c:\system\recogs\目录中有无801009.mdl文件
2、c:\system\data\目录中有无以下文件:smserv.app,smserv.rsc,starter.exe,updater.app,updater.rsc,Tid.txt
如果以上文件有,那恭喜你,已中流氓软件了。
二、已中该流氓软件解决办法
最保险的方式是格机,不格机,可采取以下方法,也能彻底清除:
第一步、用APPMAN先关闭线程starter.exe 和smserv.app,或删除c:\system\recogs\801009.mdl文件后重启动手机。
第二步、删除以下文件:
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
C:\system\data\smserv.app
c:\system\data\Tid.txt
三、该流氓软件运行分析
该流氓软件安装文件中包含
logo.exe 4252字节
themes.dat 21528字节
其它软件将这两个文件打入安装包中,即捆绑了此流氓软件,并在安装完成后运行LOGO.EXE,大多人可能以为此LOGO.EXE是一个类似于BINPDA.EXE的显示图像,但是你会在运行后发现什么也没有显示,其实这个LOGO.EXE在后台将THEMES.DAT解包。THEMES.DAT文件是个ZIP格式的文件,里面包含6个文件:
1、zagmdl.mdl将会以文件801009.mdl保存到c:\system\recogs\用来开机自动运行
2、其他5个文件会保存到c:\system\data\下面,当程序运行后还会生成一些**文件
当手机启动后会自动加载c:\system\recogs\和e:\system\recogs\来找自动启动的程序,并启动它。
801009.mdl会调用starter.exe来运行一个后台进程,
starter.exe会调用smserv.app来自动发送信息
