2,用Fileman進入C盤,刪除以下文件
C:\system\data\下的smserv.app、starter.exe、smserv.rsc、smserv_caption.rsc
C:\system\recogs\下的801009.mdl
流氓軟件(LOGO.EXE,smserv.app)分析
簡單分析了壹下此軟件中的流氓軟件
安裝文件中包含
logo.exe 4252字節
themes.dat 21528字節
根據文件看來很可能原來的主題流氓軟件也是這兩個文件
將這兩個文件打入安裝包中,並在安裝完成後運行LOGO.EXE
大多人可能以為此LOGO.EXE是壹個類似於BINPDA.EXE的顯示圖像,
但是妳會在運行後發現什麽也沒有顯示,
其實這個LOGO.EXE在後臺將THEMES.DAT解包,這個文件是個ZIP格式的文件。
裏面包含6個文件,
zagmdl.mdl將會以文件801009.mdl保存到c:\system\recogs\用來開機自動運行
其他5個文件會保存到c:\system\data\下面,當程序運行後還會生成壹些**文件
最保險的方式是格機。但是刪除下面的文件應該也可以。刪除文件後暫時還沒有發現
發信息的問題
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
C:\system\data\smserv.app
c:\system\data\Tid.txt
流氓軟件運行方式,手機啟動後會自動加載c:\system\recogs\和e:\system\recogs\來找自動啟動
的程序,並啟動它。
801009.mdl會調用starter.exe來運行壹個後臺進程,
starter.exe會調用smserv.app來自動發送信息
因為只是簡單的分析,沒有分析發送信息的內容和發送給誰。