打印本文 打印本文  关闭窗口 关闭窗口  
手机“病毒”分析及查杀常识
作者:陈鹏  文章来源:eNet  点击数  更新时间:2009/9/11 23:24:44  文章录入:陈鹏  责任编辑:陈鹏

你见过手机病毒吗?手机病毒是怎么工作的?手机病毒如何查杀?我们共同来探讨一下这些话题。

  我在手机“病毒“上加了引号,是因为我到目前为止没有见过真正的手机病毒,我们知道,病毒应该具有以下特点:

  1、传染性
  2、破坏性
  3、潜伏性
  4、可触发性
  5、寄生性

  手机病毒按病毒形式可以分为四大类:  

  1.通过“无红传送”蓝牙设备传播的病毒“卡比尔”、“Lasco.A”。

  小知识: “卡比尔”( Cabir)是一种网络蠕虫病毒,它可以感染运行“Symbian”操作系统的手机。手机中了该病毒后,使用蓝牙无线功能会对邻近的其它存在漏洞的手机进行扫描,在发现漏洞手机后,病毒就会复制自己并发送到该手机上。
  Lasco.A病毒 与蠕虫病毒一样,通过蓝牙无线传播到其它手机上, 当用户点击病毒文件后,病毒随即被激活。

  2.针对移动通讯商的手机病毒“蚊子木马”。

  小知识: 该病毒隐藏于手机游戏“打蚊子”的破解版中。虽然该病毒不会窃取或破坏用户资料,但是它会自动拨号,向所在地为英国的号码发送大量文本信息,结果导致用户的信息费剧增。

  3.针对手机BUG的病毒“移动黑客”。

  小知识: 移动黑客( Hack.mobile.smsdos)病毒通过带有病毒程序的短信传播,只要用户查看带有病毒的短信,手机即刻自动关闭。

  4.利用短信或彩信进行攻击的“Mobile.SMSDOS”病毒。

  典型的例子就是出现的针对西门子手机的“Mobile.SMSDOS”病毒。
  小知识: “ Mobile.SMSDOS”病毒可以利用短信或彩信进行传播,造成手机内部程序出错,从而导致手机不能正常工作。

  常见手机病毒及其毒发症状

  EPOC_ALARM : 手机持续发出警告声音
  EPOC_BANDINFO.A : 将用户信息更改为 “ Some fool own this ”
  EPOC_FAKE.A : 在手机屏幕上显示格式化内置硬盘时画面,吓人把戏,不会真格
  EPOC_GHOST.A : 在画面上显示 “ Every one hates you ” (每个人都讨厌你)
  EPOC_LIGHTS.A : 让背景光不停闪烁
  EPOC_ALONE.A : 这是一种恶性病毒,会使键操作失效。
  Timofonica : 给地址簿中的邮箱发送带毒邮件,还能通过短信服务器中转向手机发送大量短信。
  Hack.mobile.smsdos :会让手机死机或自动关机。
  Unavaifabie : 当有来电时,屏幕上显示 “ Unavaifaule ” (故障)字样或一些奇怪的字符。如果此时接起电话则会染上病毒,同时丢失手机内所有资料。
  Trojanhorse : 恶意病毒,病毒发作时会利用通迅簿向外拨打电话或发送邮件。甚至打电话找警察。

  从以上分析我们可以看出,针对手机的攻击程序都没有寄生性和传染性的特点,因此我们还不能把它们称之为“病毒”,只能把他们称为手机漏洞的攻击程序。以下我们详细分析这些程序,以及他们利用的手机漏洞。

  手机漏洞分析,根据漏洞发现时间上的先后顺序,我把已经公布的手机漏洞进行了整理,到目前为止,主要有以下一些手机漏洞:

  1、Nokia 某些产品PDU格式漏洞:荷兰安全公司ITSX的研究人员发现,诺基亚的一些流行型号的手机的操作系统由于没有对短信的PDU格式做例外处理,存在一个Bug,黑客可以利用这个安全漏洞向手机发送一条160个字符以下长度的畸形电子文本短信息来使操作系统崩溃。该漏洞主要影响诺基亚3310、3330和6210型手机。

  2、Siemens 35系列特殊字符漏洞:由于手机使用范围逐渐扩大,中国安全人士对手机、无线网络的安全也产生了兴趣,2001年底,中国安全组织Xfocus的研究人员也发现西门子 35系列手机在处理一些特殊字符时也存在漏洞,将直接导致手机关机。

  3、Panasonic的GD87彩信手机存在漏洞:2002年12月,T-Mobile International AG 公司确认了在新款松下彩信手机软件中出现了漏洞,这个漏洞可以让手机不经过使用者的同意而访问付费服务,其中的原因是GD87支持WAP PUSH中的service loading方式。

  4、Orange 的SPV 存在允许运行非认证软件漏洞:英国电信商Orange的SPV是市面上第一款采用微软Smartphone 2002操作系统的手机,基于安全考虑,Orange只允许经过该公司认证的软件才能 在SPV手机上执行。但2003年初已有黑客破解SPV上的安全机制,并公开此一破解方法,这样,程序无须通过Orange认证,就可直接流入网络, 用在SPV手机上,从而对用户的手机产生破坏。

  5、Nokia的Vcard存在漏洞:VCard格式是一种全球性的MIME标准,最早由Lotus和Netscape提出。该格式实现了通过电子邮件或者手机来交换名片。Nokia的6610、6210、6310、8310等系列手机都支持Vcard,但是其6210手机被证实在处理Vcard上存在格式化字符串漏洞。攻击者如果发送包含格式字符串的vCard恶意信息给手机设备,可导致SMS服务崩溃,使手机被锁或重启动。

  6、Siemens的"%String"漏洞:2003年3月,西门子*35和*45系列手机在处理短信时,在处理短信时遇到问题。当接受到"%String"形式的短信时,如”%English”西门子手机系统以为是要更操作改系统语言为英文,从而导致在查看该类短信时死机,利用这一点很容易使西门子这类手机遭受拒绝服务攻击。

  手机病毒趋势:虽然已经在不少手机上发现了安全问题,但是到目前为止,还没有看到真正意义上的手机病毒,这并不是因为没有人愿意写,而是存在着不少困难:

  1. 手机操作系统是专有操作系统,不对普通用户开放,不像电脑操作系统,容易学习、调试和程序编写,而且它所使用的芯片等硬件也都是专用的,平时很难接触到;

  2. 手机系统中可以“写”的地方太少,在以前的手机中,用户是不可以往手机里面写数据的,唯一可以保存数据的只有SIM卡,而这么一点容量要想保存一个可以执行的程序非常困难,况且保存的数据还要绕过SIM卡的格式。

  3. 以前手机接收的数据基本上都是文本格式数据,我们知道文本格式也是计算机系统中最难附带病毒的文件格式,同样在手机系统中,病毒也很难附加在文本内容上。

  但是随着手机行业的快速发展和基于手机的应用不断增多,这种局面已经开始发生变化,特别是:

  1. K-JAVA大量运用于手机,使得编写用于手机的程序越来越容易,一个普通的Java程序员甚至都可以编写出能传播的病毒程序;

  2. 基于Symbian、Pocket PC和SmartPhone的操作系统的手机不断扩大,同时手机使用的芯片(如Intel 的Strong ARM)等硬件也不断固定下来,使手机有了比较标准的操作系统,而且这些手机操作系统厂商甚至芯片都是对用户开放API并且鼓励在他们之上做开发的,这样在方便用户的同时,也方便了病毒编写者,他们只需查阅芯片厂商或者手机操作系统厂商提供的手册就可以编写出基于手机的病毒,甚至这样的可以破坏硬件。

  3. 手机的容量不断扩大既增加了手机的功能,同时也使得病毒有了藏身之地。现在的很多手机都有比较大的容量,甚至能外接CF卡,这样病毒就不再也不用发出“天下虽大,却没有我容身之地”的感叹了;

  4. 手机直接传输的内容也复杂了很多,有以前只有文本的SMS发展到现在支持2进制格式文件的EMS和MMS,因此病毒就可以附加在这些文件中进行传播。

  从以上分析可以看出,现在的手机发展为手机病毒的产生、保存、传播都创造了条件,因此手机病毒的出现和发展也仅仅只是时间问题而已。

  防范手机病毒:如果我们可以放弃丰富的娱乐、便捷的工作、美好的生活,那手机病毒或许就可以远离我们,但我们都有愿望和权力选择更美好、更丰富的生活,所以我们要做打一场防范手机病毒战争的准备也就在所难免了。从手机病毒的特点来分析,我们可以采取以下措施:

  1.坚守手机堡垒:手机是手机病毒寄生和发作的温床,因此要防范手机病毒,就要在手机上做好安全,手机厂商要防止出现手机的安全漏洞,用户要注意不能随便下载不确定来源的文件(包括手机铃声和图片存储到手机中的文件),杀毒软件厂商也要开发出手机杀毒软件(目前Trend micro、Mcafee、f-secure等公司已经有了PDA版本的杀毒软件);

  2.堵死手机病毒传播通道:手机病毒的通道主要是移动运营商提供的网关,因此在网关上进行杀毒是防止手机病毒扩散的最好办法,国内的安全组织Xfocus在这方面做了比较深入的研究,分析了SMS、EMS和MMS的协议分析,并在这基础上对其中包含的内容进行扫描,确保传送的内容是安全可靠的。

  3.乱码短信、彩信,删。乱码短信、彩信可能带有病毒,收到此类短信后立即删除,以免感染手机病毒。

  4.不要接受陌生请求。利用无线传送功能比如蓝牙、红外接收信息时,一定要选择安全可靠的传送对象,如果有陌生设备请求连接最好不要接受。因为前面说过,手机病毒会自动搜索无线范围内的设备进行病毒的传播。

  5.保证下载的安全性。 现在网上有许多资源提供手机下载,然而很多病毒就隐藏在这些资源中,这就要求用户在使用手机下载各种资源的时候确保下载站点是否安全可靠,尽量避免去个人网站下载。

  6.选择手机自带背景。 漂亮的背景图片与屏保固然让人赏心悦目,但图片中带有病毒就不爽了,所以用户最好使用手机自带的图片进行背景设置。

  7.不要浏览危险网站。 比如一些黑客,色情网站,本身就是很危险的,其中隐匿着许多病毒与木马,用手机浏览此类网站是非常危险的。

  随着手机的不断发展和基于手机业务的不断扩大,手机病毒的危险也是越来越大,但是只要我们提高安全意识,注意安全,手机病毒也是可以防范的。



【责任编辑 彭凡】

打印本文 打印本文  关闭窗口 关闭窗口