一个手机常见病毒的分析(可能导致短信息丢失，自动发信息)（LOGO.EXE,smserv.app）

henryliu911

已知出现的问题短信息丢失，自动发信息。
流氓软件（LOGO.EXE,smserv.app）分析

简单分析了一下此软件中的流氓软件
安装文件中包含
logo.exe  4252字节
themes.dat 21528字节
根据文件看来很可能原来的主题流氓软件也是这两个文件
将这两个文件打入安装包中，并在安装完成后运行LOGO.EXE
大多人可能以为此LOGO.EXE是一个类似于BINPDA.EXE的显示图像，
但是你会在运行后发现什么也没有显示，
其实这个LOGO.EXE在后台将THEMES.DAT解包，这个文件是个ZIP格式的文件。
里面包含6个文件，
zagmdl.mdl将会以文件801009.mdl保存到c:\system\recogs\用来开机自动运行
其他5个文件会保存到c:\system\data\下面，当程序运行后还会生成一些**文件
最保险的方式是格机。但是删除下面的文件应该也可以。删除文件后暂时还没有发现
发信息的问题。删除文件前请用APPMAN先关闭线程starter.exe 和smserv.app
或者删除c:\system\recogs\801009.mdl文件后重启动手机。再删除其他文件。
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
C:\system\data\smserv.app
c:\system\data\Tid.txt
流氓软件运行方式，手机启动后会自动加载c:\system\recogs\和e:\system\recogs\来找自动启动
的程序，并启动它。
801009.mdl会调用starter.exe来运行一个后台进程，
starter.exe会调用smserv.app来自动发送信息
因为只是简单的分析，没有分析发送信息的内容和发送给谁。
==========================================================
怎样预防
下载软件时最好先看一下下面的网友的评论，如果你是第一个下载的就要小心提防了。
可以先使用UNMAKESIS将程序解开，看看有没有安装后自动运行的程序。如果有最好能弄清楚是否流氓软件。
再就是看看安装程序有没有向e:\system\recogs\和c:\system\recogs\放文件来实现自动运行。

601127244

我就遇到过，发了好几条定制业务的短信出去，用杀毒软件也杀不了

alva0203

好复杂..看不懂啊

雨夜狂风

看不懂

darreol

我手机用卡巴斯基8.0呵呵

fanture

手机不是智能系统的