流氓软件(LOGO.EXE smserv.app)分析
简单分析了一下此软件中的流氓软件安装文件中包含logo.exe 4252字节、themes.dat 21528字节根据文件看来很可能原来的主题流氓软件也是这两个文件将这两个文件打入安装包中,并在安装完成后运行LOGO.EXE大多人可能以为此LOGO.EXE是一个类似于BINPDA.EXE的显示图像,但是你会在运行后发现什么也没有显示,其实这个LOGO.EXE在后台将THEMES.DAT解包,这个文件是个ZIP格式的文件。里面包含6个文件,zagmdl.mdl将会以文件801009.mdl保存到c:\system\recogs\用来开机自动运行其他5个文件会保存到c:\system\data\下面,当程序运行后还会生成一些**文件最保险的方式是格机。但是删除下面的文件应该也可以。删除文件后暂时还没有发现发信息的问题
c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
C:\system\data\smserv.app
c:\system\data\Tid.txt
流氓软件运行方式,手机启动后会自动加载c:\system\recogs\和e:\system\recogs\来找自动启动的程序,并启动它。
801009.mdl会调用starter.exe来运行一个后台进程,starter.exe会调用smserv.app来自动发送信息,因为只是简单的分析,没有分析发送信息的内容和发送给谁。
怎样预防
下载软件时最好先看一下下面的网友的评论,如果你是第一个下载的就要小心提防了。
可以先使用UNMAKESIS将程序解开,看看有没有安装后自动运行的程序。如果有最好能弄清楚是否流氓软件。
再就是看看安装程序有没有向e:\system\recogs\和c:\system\recogs\放文件来实现自动运行。
