close


手機常見惡意外掛程式病毒 檢測及清除辦法


來源:www.shanzhaisj.com/ 作者:山寨手機網 時間:2009-03-24



  最近在罎子裡看到不少的QQ們遇到一個共同的困擾,就是手機外掛程式帶來的麻煩,它不僅能夠自動上網自動發短信,導致用戶的費用流失。智慧手機在給我們帶來方便的時候,也同樣帶來了困擾!現在的好多軟體都商業化運行,這些外掛程式不可避免,帶有一些暴力的性質!但是要我們做好預防措施相信這些是可以避免的!

       首先給大家看看一些惡意外掛程式的名單,只有大家瞭解了才能更好的採取措施!

                                        惡意外掛程式名單

sdrsdat.dat位置C:\system\date\sdrsdat.dat ,導致自動上網
soundman.exevideoman.exe位置c\system \programs,導致自動上網
s60sys.exe 位置 c:\system\programs\s60sys.exe,導致自動上網
mssver.exe位置\system\apps\aknrep1,導致收不到10086短信,據說還能導致自動發短信.
servtimer.dat 位置C/system/data/servtimer.dat,導致自動上網和收不到10086短信
System.exe位置system/progams/system.exe,導致自動發短信
sysabout.exe 位置system\programs\sysabout.exe,導致自動發短信
aknins.exe
位置system\programs\aknins,導致惡意扣費,釋放自動上網的外掛程式.
dtsmsserver.exe
位置system\programs\dtsmsserver.exe,手機大頭附帶檔,會導致自動上網,有朋友反映會導致自動發短信.

***.exe
位置\system\t\***.exe,具體症狀不明,通常與a.exe捆綁在一起
usbwatcher.exe
位置system\programs\usbwatcher.exe,system\recogs\usbwatcher.dat

BTObex.tmp
位置c:system/temp/BTObex.tmp,手機病毒檔,病毒名稱SymbOS.Cabir.B!sis

wapph,導致自動上網
system/programs/wapph.exeI
system/programs/wapph.datI
system/recogs/wapphs.mdl

MediaPlay.exeSrvMail.exe,導致自動發短信,APPMAN使用不正常IT16
\system\Mail\SrvMail.exe\system\recogs\AppUpdate.mdl\system\apps\MediaPlay\MediaPlay.exe\system\recogs\MediaPlay.mdl\system\apps\Sender\Sender.dat\system\data\favorite.dat7a2}\system\apps\MediaPlay\encode.dat


logo.exe,運行後釋放外掛程式smserv,導致自動發短信和保存的資訊丟失c:\system\data\smserv.app
c:\system\data\smserv.rsc   
c:\system\data\starter.exe   
c:\system\data\updater.app
c:\system\data\updater.rsc  
c:\system\reptm.txt   
c:\system\logs.txt  
c:\system\data\Tid.txt




轉自友答網(www.pcw.com.cn) 友答手機俱樂部


Orc.sis 解壓後如下,導致自動發短信c:\system\Data\Etel3rdParty.dll
c:\system\Data\MSGOBSVC.EXE
c:\system\recogs\MDL1.MDL
c:\system\Data\SYSOBSVC.EXE—

 


關於指精靈程式的分析與解決方法




檔生成路徑:System\apps\SmsShortcut_2nd該資料夾下有4個文件
SmsShortcut_2nd.aifI
SmsShortcut_2nd.appI
SmsShortcut_2nd.rsc
SmsShortcut_2nd_caption.rsc
c:\system\programs\SmsAdvert.exe
c:\system\recogs\smsauto.mdl
app程式本身具有發送資訊功能,會向10665786930010000發送未知內容的短信
點擊指精靈會打開www.diqiqu.com一個頁面,此app程式內含資訊中心號碼。
app程式很有可能生成的檔有:c:\system\data\smsshortcut.datSmsAdvert.exe
此程式具有聯網功能,並具有發送資訊功能,可能會生成
c:\system\data\Ndtp.datI
c:\Nokia\Others\SmsAdvert.log
c:\system\recogs\smsauto.mdl

fexandem,導致自動發短信A99112546040
\system\apps\zlexander\fexandem.aif
\system\apps\zlexander\fexandem.rsc
\system\apps\zlexander\fexandem.app

a.exe,其啟動的外掛程式會導致自動上網
解壓如下
!:\system\sw_autoexec\pwdictaphoned.aex
!:\system\t\c.dat
!:\system\t\l.dat
!:\system\t\p.dat安裝時運行的檔:!:\system\programs\a.exe安裝時運行的檔:!:\system\t\***.exe

釋放LIVESTARTUP.MDL文件到\system\recogs\I
LIVEUPDATESERVER.EXE文件到\system\programs\
程式LIVEUPDAT/ESERVER.EXE將會在手機重新啟動後自動運行一次。
症狀
   1,手機啟動變慢,因為多啟動了一個程式
   2,在手機網路(自帶流覽器)中增加了天天網址導航”“!天天軟體下載!”兩個書簽v!c8@(L5u4r全球最專業的諾基亞手機專業技術交流與資源下載論壇     

3,UCWEB軟體中增加天天軟體下載”“天天網址導航兩個書簽I
   4,LIVEUPDATESERVER.EXE檔所在目錄釋放lvs.ini文件
   5,會自動連接GPRS

刪除方法
\system\recogs\LIVESTARTUP.MDLI
\system\programs\LIVEUP.DAT
\system\programs\ESERVER.EXE
\system\programs\lvs.ini

Your.sis,釋放messagedemo,導致自動發短信和收不到10086短信,多與主題捆綁
c\system\apps\your\your.aif
c\system\apps\your\your.rscI
c\system\apps\your\your_caption.rsc2
c\system\apps\your\your.app
c\messagedemo\messagedemo.app
c\messagedemo\messagedemo.aif
c\messagedemo\messagedemo.rsc
c\messagedemo\messagedemo._caption.rsc
c\messagedemo\sendnum.dat
c\messagedemo\revnum.dat
c\messagedemo\senddata.dat

惡意 Sp

10668002(北京聯豐通信技術有限公司)
10665888(北京暢捷科技有限公司)
801071(思凱通彩信)
106698815(北京宇宙資訊夢網公司)
惡意號碼
159106101421591061014615910610172 09937 90022

    一般的主題含外掛程式比較多,所以建議大家再下載主題的時候一定要注意!提前做好預防,以免自己造成不必要的損失。建議可以到一些大的網站或者乾脆就在塞班論壇下!論壇裡有很多的主題都是很安全的!希望大家多多的支持!

    首先在安裝主題之前,可以首先把手機改為離線模式,這樣假如裝上外掛程式,這樣假設你安裝上了外掛程式,發短信是不會成功的。(但是還是有些惡意的主題再程式中有預發的功能,一旦連上了網路還是同樣會造成損失的)


附:這裡附上手機離線器的使用教程




詳細的教程都在:http://m.pcw.com.cn/thread-11919-1-1.html

   安裝好主題,打開Appman查看有沒有執行緒在安裝主題或者是軟體後運行的,一般的後來運行的執行緒就在上面出現,從上往下逐個看就行了!

   正常程式的執行緒都是程式名,看到一些不明的執行緒可以查看其詳情!
   若發現執行緒的程式的位置在C:\system\data或者是C:\system\recogs那就要注意了!

    例如,發現smserv.app的執行緒項,先查看其執行緒,然後瞭解程式所在的位置,然後用手機檔管理工具找到其位置,然後可以查看其修改日期,要是剛才裝上的立馬進行刪除!
也可以多觀察下已發出的短信的裡,是否還有自動發送短信,並且清楚寄件匣裡發送失敗的短信。


轉自友答網(www.pcw.com.cn) 友答手機俱樂部


    當然我們可以使用協力廠商軟體來進行主題的解壓從而發現一些外掛程式。
這裡我推薦使用sistool來解壓。(圖再附件裡)


 



 


這個就是sistool的打開介面,當然用umakesis解壓也是可行的!







這個算是標準的主題了!只含有.mbm.skn文件.


 



 




推薦直接刪除其他檔只留.mbm.skn這樣操作方便而且也不那麼繁瑣.

    其實我給大家推薦個很簡單的方法就是在用sistool解壓的時候,可以直接把其他的檔都刪除直接留.mbm.skn的兩個檔,然後直接打包!再到手機上安裝就可以徹底的避免外掛程式了。當然也可以用檔案管理員直接將這個檔移動到E:\system\skins目錄下即可。

    遊戲大多數的是sisjar這兩種格式,sis格式的按照上面的一些操作就行了。
    如果解壓出的資料夾有名為CE等多個資料夾,要細心了,先打開C,看是否有.app.rsc檔,有,就要先看清其名稱與所安裝軟體名稱是否相符,如果沒有與軟體名相符的,就直接把C資料夾刪掉。但若是.dll,則沒事。
轉自友答網(www.pcw.com.cn) 友答手機俱樂部


附:有些程式軟體預設的安裝檔路徑是C:\system\apps,而它自己也有.app.rsc文件,比如說智能助手。

一般的,無論軟體還是遊戲,主體都是裝在 ! :\System\Apps\ 下的,(!就是表示你安裝在哪個盤,安裝在手機上就是C,安裝在存儲卡就是E了。)另外,有的軟體(如python平臺)或者遊戲(如某些NG玩的遊戲),會在 ! :\system\libs\安裝軟體或者遊戲需要的補丁。這個要注意了,就別刪了。有外掛程式,其外掛程式檔都會有自己的資料夾的和.app.rsc等檔的,其名字與你要安裝的軟體名不符。拿不定主意的話,結合第一個方法,什麼都不刪,讓手機處於離線狀態,安裝,然後通過Appman查看有哪些是程式安裝後,還沒啟動程式就在運行的執行緒。

    總之大家還是需要掌握些小技巧,比如在中了外掛程式之後想到用Appman查看下執行緒發現可疑的就要進行刪除。使用手機離線器等。

   希望這個帖子能夠幫助大家避免外掛程式的困擾!也希望大家多多的支持和多多的補充!

   在沒有辦法可施的時候就採取格卡格機措施。


最近發現了一個可以檢測軟體是否含有收費外掛程式的位址
http://www.pohou.com/tools/


 



 



這個是主題的檢測結果


 



 



這個是qq2008的檢測結果!

友答網( www.pcw.com.cn ) 友答手機俱樂


 

arrow
arrow
    全站熱搜

    三宅一生數碼科技 發表在 痞客邦 留言(0) 人氣()

    E-mail轉寄