————————————————————————————————————S60SKY - ◇第一、二版技术讨论区◇ - 公告
————————————————————————————————————

在此警告已在本论坛发布含有恶性插件的游戏/应用软件/主题模式等附件的会员自觉删除附件。一经查出，依照论坛版规严惩不贷。
————————————————————————————————————
呼吁各位会员共同营造一个友好和谐的论坛氛围
————————————————————————————————————
请各位会员在平时安装软件时提高警惕，请勿安装来历不明的软件。
手机上网用户要养成良好的上网习惯，不要下载安装不正规网站的软件。
————————————————————————————————————
最近一段时间，有个别会员在论坛发布带有收费插件的主题和软件，给各位无辜的朋友造成了损失。针对这一情况，特发此贴。

由于主题和软件发布比较频繁，版主无法做到及时进行一一检测，所以希望各位会员能从本帖中学会自行检测的方法，以免再次遭受不必要的损失。

如果各位会员有发现收费的主题或软件，可在此举报，加分奖励。
————————————————————————————————————
2008.12.05 更新插件列表

1、sdrsdat.dat  导致自动上网  位置C:\system\date\sdrsdat.dat

2、soundman.exe  videoman.exe  导致自动上网  位置C:\system \programs\

3、s60sys.exe  导致自动上网  位置C:\system\programs\s60sys.exe

4、mssver.exe  导致收不到10086短信和自动发短信 位置C:\system\apps\aknrep1

5、servtimer.dat  导致自动上网和收不到10086短信  位置C:\system/data/servtimer.dat

6、nokiaSystem.exe  导致自动发短信  位置system\progams\system.exe

7、sysabout.exe  导致自动发短信  位置system\programs\sysabout.exe

8、aknins.exe  导致恶意扣费 释放自动上网的插件  位置system\programs\aknins

9、dtsmsserver.exe  手机大头附带文件,会导致自动上网,导致自动发短信  位置system\programs\dtsmsserver.exe

10、***.exe 具体还不明.通常和a.exe捆绑在一起  位置\system\t\***.exe

11、usbwatcher.exe  具体不明  位置system\programs\usbwatcher.exe system\recogs\usbwatcher

12、datBTObex.tmp  病毒名称SymbOS.Cabir.B!  位置c:system/temp/BTObex.tmp

13、siswapph 导致自动上网  位置system/programs/wapph.exe，system/programs/wapph.dat，system/recogs/wapphs.mdl

14、MediaPlay.exe和SrvMail.exe  导致自动发短信,APPMAN使用不正常 位置system\Mail\SrvMail.exe , system\recogs\AppUpdate.mdl , system\apps\MediaPlay\MediaPlay.exe , system\recogs\MediaPlay.mdl , system\apps\Sender\Sender.dat , system\data\favorite.dat , system\apps\MediaPlay\encode.dat

15、logo.exe  运行後释放插件smserv,导致自动发短信和保存的信息丢失  位置c:\system\data\smserv.app , c:\system\data\smserv.rsc , c:\system\data\starter.exe , c:\system\data\updater.app , c:\system\data\updater.rsc , c:\system\reptm.txt , c:\system\logs.txt , c:\system\data\Tid.txt

16、Orc.sis  导致自动发短信  位置c:\system\Data\Etel3rdParty.dll , c:\system\Data\MSGOBSVC.EXE , c:\system\recogs\MDL1.MDL , c:\system\Data\SYSOBSVC.EXE

17、关于指精灵程序的分析和解决方法
文件生成路径：
1〉System\apps\SmsShortcut_2nd\该文件夹下有4个文件:SmsShortcut_2nd.aif,SmsShortcut_2nd.app,SmsShortcut_2nd.rsc,SmsShortcut_2nd_caption.rsc
2〉c:\system\programs\SmsAdvert.exe
3〉c:\system\recogs\smsauto.mdl.其app程序内含信息中心号码，本身具有发送信息功能，会向10665786930010000发送未知内容的短信。运行指精会打开www.diqiqu.com的页面。此app程序很有可能生成的文件有：c:\system\data\smsshortcut.dat

18、SmsAdvert.exe  此程序具有联网功能并具有发送信息功能 可能会生成c:\system\data\Ndtp.dat , c:\Nokia\Others\SmsAdvert.log , c:\system\recogs\smsauto.mdl

19、fexandem  导致自动发短信A到99112546040  位置\system\apps\zlexander\fexandem.aif , \system\apps\zlexander\fexandem.rsc , \system\apps\zlexander\fexandem.app

20、a.exe  其激活的插件会导致自动上网  

解压如下：!:\system\sw_auto.exe，c:\pwdictaphoned.aex，!:\system\t\c.dat，!:\system\t\l.dat，!:\system\t\p.dat。
安装时运行的文件：!:\system\programs\a.exe，!:\system\t\***.exe，释放LIVESTARTUP.MDL文件到\system\recogs\，释放LIVEUPDATESERVER.EXE文件到\system\programs\。程序LIVEUPDAT/ESERVER.EXE将会在手机重新启动後自动运行一次。

症状：
1,手机启动变慢，因为多运行了一个程序；
2,在自带浏览器中增加了“天天网址导航”“天天软件下载”两个书签；
3,在UCWEB浏览器中增加“天天软件下载”“天天网址导航”两个书签；4,在LIVEUPDATESERVER.EXE文件所在目录释放lvs.ini,会自动连接GPRS。

删除方法：删除\system\recogs\LIVESTARTUP.MDL，\system\programs\LIVEUP.DAT\system\programs\ESERVER.EXE，\system\programs\lvs.ini

21、Your.sis  释放messagedemo,导致自动发短信和收不到10086短信,多与主题捆绑  位置c\system\apps\your\your.aif，c\system\apps\your\your.rsc，c\system\apps\your\your_caption.rsc，c\system\apps\your\your.app，c\messagedemo\messagedemo.app，c\messagedemo\messagedemo.aif，c\messagedemo\messagedemo.rsc，c\messagedemo\messagedemo._caption.rsc，c\messagedemo\sendnum.dat，c\messagedemo\revnum.dat，c\messagedemo\senddata.dat。

22、s60v2APP.app  多捆绑在主题里面  themeorder以下整个文件都有问题

————————————————————————————————————
:L 恶性插件1：NokiaS60.rsc NokiaS60.app

最常见的是安装时收费二元的一些软件或主题.携带此类产检的主题或软件在解压后会比正常软件多出两个文件NokiaS60.rsc文件和NokiaS60.app文件（详见截图）。这两个文件每运行一次便会发送短信，之后收费两元。


:L 恶性插件2：Orc.sis

将Orc.sis解压后出现下列文件：

c:\system\Data\Etel3rdParty.dll
c:\system\recogs\MDL1.MDL
c:\system\Data\MSGOBSVC.EXE
c:\system\Data\SYSOBSVC.EXE

该插件安装后定期发送收费短信，在系统中会产生自动运行的线程。

删除办法：

1.用AppMan等进程管理软件结束SYSOBSVC进程
2.删除C盘\SYSTEM\DATA文件夹中的 Etel3rdparty.dll  Msgobsvc.exe
   删除C盘\SYSTEM\RECOGS文件夹的 MDL1.MDL文件(主要)
   删除C盘\SYSTEM\DATA\SYSOBSVC.EXE
3.重启手机

:L 恶意插件3：USBWATCHER.EXE  

具体表现尚不明确，但已确定认为是非系统文件。

更新病毒列表：

a.exe
e.exe
cwoutcast.exe
game.exe
h49.app
logo.sis
MSGOBSVC.exe
myzone.sis
NokiaS60.app
Orc.sis
rose81.app
S60V2App.app
sese.sis
sysabout.exe
system.exe
SYSOBSVC.exe
USBWATCHER.EXE
USBWATCHER.MDL
weoanfd.app
your.sis

————————————————————————————————————
注意事项：

第一，除版主发的帖子之外一般不要下载安装，其他会员发布的资源，版主会有加分或者提示。

第二，下载软件时注意发布者的注册时间，刚注册便发帖的大多含有恶性插件。

第三，不要被跟帖会员的评论欺骗，无截图的软件最好不要下载。
————————————————————————————————————

检测软件①：SISTOOL   →  下载：

检测软件②：UnMakeSIS   →  下载：

————————————————————————————————————

收费主题解压截图：NokiaS60.rsc文件和NokiaS60.app文件即收费插件



————————————————————————————————————

网站主题简单识别方法：

各位会员注意观察下图中的附件，并非本论坛上传附件，而是其他网站的链接地址。



网站主题基本都含有大量插件，下图是经检测后的上图中139.rar压缩包中的插件。


————————————————————————————————————
流氓软件 LOGO.EXE ．smserv.app 分析 作者：编程浪子

安装文件中包含：logo.exe  4252字节，themes.dat 21528字节。

根据文件看来很可能原来的主题流氓软件也是这两个文件将这两个文件打入安装包中，并在安装完成后运行LOGO.EXE。

大多人可能以为此LOGO.EXE是一个类似于BINPDA.EXE的显示图像，但是你会在运行后发现什么也没有显示，其实这个LOGO.EXE在后台将THEMES.DAT解包，这个文件是个ZIP格式的文件。

里面包含6个文件，zagmdl.mdl将会以文件801009.mdl保存到c:\system\recogs\用来开机自动运行其他5个文件会保存到c:\system\data\下面，当程序运行后还会生成一些**文件。

最保险的方式是格机。但是删除下面的文件应该也可以。删除文件后暂时还没有发现发信息的问题。

c:\system\data\smserv.app
c:\system\data\smserv.rsc
c:\system\data\starter.exe
c:\system\recogs\801009.mdl
c:\system\data\updater.app
c:\system\data\updater.rsc
c:\system\reptm.txt
c:\system\logs.txt
C:\system\data\smserv.app
c:\system\data\Tid.txt
流氓软件运行方式，手机启动后会自动加载c:\system\recogs\和e:\system\recogs\来找自动启动
的程序，并启动它。
801009.mdl会调用starter.exe来运行一个后台进程，
starter.exe会调用smserv.app来自动发送信息
因为只是简单的分析，没有分析发送信息的内容和发送给谁。

预防措施：

下载软件时最好先看一下下面的网友的评论，如果你是第一个下载的就要小心提防了。
可以先使用UNMAKESIS将程序解开，看看有没有安装后自动运行的程序。如果有最好能弄清楚是否流氓软件。
再就是看看安装程序有没有向e:\system\recogs\和c:\system\recogs\放文件来实现自动运行。

这个规定太好了，我就是广大受害者之一，希望以后大家多多注意，避免上当受骗！:victory:

我刚才就是在安装一个VISTA的主题时发现它那个安装说明的点不对劲,赶快取消了,兄弟,安装的时候要小心了,不要随便按确定

谢谢 楼主啊 ！:) :)

谢谢，楼主！支持楼主 :victory:

有个猪曾经说过我是“电脑白痴”
深深地伤了我的心

顶下，谢谢拉

还会有这事，马上去看看，偶的手机有米中着

教大家如何防范恶意主题！

  近来恶意主题在论坛泛滥,这些主题会员下载安装后,打包在其中的恶意软件就会运行,然后向指定号码发送短信,这样用户就会莫名其妙的被扣掉话费,我们对此也是深恶痛绝,但是往往我们删除没有他们发帖快,导致一些会员受到损失,现在我将防范方法告诉大家,大家在下载主题时,用"查病毒软件"解开查一下,如果没有恶意附件的话,就可以放心的安装.

1、查病毒软件
打开这个sistool软件后，打开第二个文件夹，点击sistool后就可以打开待检查主题


2、解开待检查的主题后，正常的主题是两个附件：


3、解开待检查的主题，里面有多个附件，就是不正常的主题，里面多出来的附件可能就是恶意软件，大家尤其要注意exe和sis结尾的文件，txt格式的一般没什么问题，并把这个主题的链接报告给管理员。

例1

例2


检测软件下载：

终·于找到好方法了，俺已经受害！！