手機「病毒」分析及查殺常識
你見過手機病毒嗎?手機病毒是怎麼工作的?手機病毒如何查殺?我們共同來探討一下這些話題。
我在手機「病毒「上加了引號,是因為我到目前為止沒有見過真正的手機病毒,我們知道,病毒應該具有以下特點:
1、傳染性
2、破壞性
3、潛伏性
4、可觸發性
5、寄生性
手機病毒按病毒形式可以分為四大類:
1.通過「無紅傳送」藍牙設備傳播的病毒「卡比爾」、「Lasco.A」。
小知識: 「卡比爾」( Cabir)是一種網絡蠕蟲病毒,它可以感染運行「Symbian」操作系統的手機。手機中了該病毒後,使用藍牙無線功能會對鄰近的其它存在漏洞的手機進行掃瞄,在發現漏洞手機後,病毒就會複製自己並發送到該手機上。
Lasco.A病毒 與蠕蟲病毒一樣,通過藍牙無線傳播到其它手機上, 當用戶點擊病毒文件後,病毒隨即被激活。
2.針對移動通訊商的手機病毒「蚊子木馬」。
小知識: 該病毒隱藏於手機遊戲「打蚊子」的破解版中。雖然該病毒不會竊取或破壞用戶資料,但是它會自動撥號,向所在地為英國的號碼發送大量文本信息,結果導致用戶的信息費劇增。
3.針對手機BUG的病毒「移動黑客」。
小知識: 移動黑客( Hack.mobile.smsdos)病毒通過帶有病毒程序的短信傳播,只要用戶查看帶有病毒的短信,手機即刻自動關閉。
4.利用短信或彩信進行攻擊的「Mobile.SMSDOS」病毒。
典型的例子就是出現的針對西門子手機的「Mobile.SMSDOS」病毒。
小知識: 「 Mobile.SMSDOS」病毒可以利用短信或彩信進行傳播,造成手機內部程序出錯,從而導致手機不能正常工作。
常見手機病毒及其毒發症狀
EPOC_ALARM : 手機持續發出警告聲音
EPOC_BANDINFO.A : 將用戶信息更改為 「 Some fool own this 」
EPOC_FAKE.A : 在手機屏幕上顯示格式化內置硬盤時畫面,嚇人把戲,不會真格
EPOC_GHOST.A : 在畫面上顯示 「 Every one hates you 」 (每個人都討厭你)
EPOC_LIGHTS.A : 讓背景光不停閃爍
EPOC_ALONE.A : 這是一種惡性病毒,會使鍵操作失效。
Timofonica : 給地址簿中的郵箱發送帶毒郵件,還能通過短信服務器中轉向手機發送大量短信。
Hack.mobile.smsdos :會讓手機死機或自動關機。
Unavaifabie : 當有來電時,屏幕上顯示 「 Unavaifaule 」 (故障)字樣或一些奇怪的字符。如果此時接起電話則會染上病毒,同時丟失手機內所有資料。
Trojanhorse : 惡意病毒,病毒發作時會利用通迅簿向外撥打電話或發送郵件。甚至打電話找警察。
從以上分析我們可以看出,針對手機的攻擊程序都沒有寄生性和傳染性的特點,因此我們還不能把它們稱之為「病毒」,只能把他們稱為手機漏洞的攻擊程序。以下我們詳細分析這些程序,以及他們利用的手機漏洞。
手機漏洞分析,根據漏洞發現時間上的先後順序,我把已經公佈的手機漏洞進行了整理,到目前為止,主要有以下一些手機漏洞:
1、Nokia 某些產品PDU格式漏洞:荷蘭安全公司ITSX的研究人員發現,諾基亞的一些流行型號的手機的操作系統由於沒有對短信的PDU格式做例外處理,存在一個Bug,黑客可以利用這個安全漏洞向手機發送一條160個字符以下長度的畸形電子文本短信息來使操作系統崩潰。該漏洞主要影響諾基亞3310、3330和6210型手機。
2、Siemens 35系列特殊字符漏洞:由於手機使用範圍逐漸擴大,中國安全人士對手機、無線網絡的安全也產生了興趣,2001年底,中國安全組織Xfocus的研究人員也發現西門子 35系列手機在處理一些特殊字符時也存在漏洞,將直接導致手機關機。
3、Panasonic的GD87彩信手機存在漏洞:2002年12月,T-Mobile International AG 公司確認了在新款松下彩信手機軟件中出現了漏洞,這個漏洞可以讓手機不經過使用者的同意而訪問付費服務,其中的原因是GD87支持WAP PUSH中的service loading方式。
4、Orange 的SPV 存在允許運行非認證軟件漏洞:英國電信商Orange的SPV是市面上第一款採用微軟Smartphone 2002操作系統的手機,基於安全考慮,Orange只允許經過該公司認證的軟件才能 在SPV手機上執行。但2003年初已有黑客破解SPV上的安全機制,並公開此一破解方法,這樣,程序無須通過Orange認證,就可直接流入網絡, 用在SPV手機上,從而對用戶的手機產生破壞。
5、Nokia的Vcard存在漏洞:VCard格式是一種全球性的MIME標準,最早由Lotus和Netscape提出。該格式實現了通過電子郵件或者手機來交換名片。Nokia的6610、6210、6310、8310等系列手機都支持Vcard,但是其6210手機被證實在處理Vcard上存在格式化字符串漏洞。攻擊者如果發送包含格式字符串的vCard惡意信息給手機設備,可導致SMS服務崩潰,使手機被鎖或重啟動。
6、Siemens的"%String"漏洞:2003年3月,西門子*35和*45系列手機在處理短信時,在處理短信時遇到問題。當接受到"%String"形式的短信時,如」%English」西門子手機系統以為是要更操作改系統語言為英文,從而導致在查看該類短信時死機,利用這一點很容易使西門子這類手機遭受拒絕服務攻擊。
手機病毒趨勢:雖然已經在不少手機上發現了安全問題,但是到目前為止,還沒有看到真正意義上的手機病毒,這並不是因為沒有人願意寫,而是存在著不少困難:
1. 手機操作系統是專有操作系統,不對普通用戶開放,不像電腦操作系統,容易學習、調試和程序編寫,而且它所使用的芯片等硬件也都是專用的,平時很難接觸到;
2. 手機系統中可以「寫」的地方太少,在以前的手機中,用戶是不可以往手機裡面寫數據的,唯一可以保存數據的只有SIM卡,而這麼一點容量要想保存一個可以執行的程序非常困難,況且保存的數據還要繞過SIM卡的格式。
3. 以前手機接收的數據基本上都是文本格式數據,我們知道文本格式也是計算機系統中最難附帶病毒的文件格式,同樣在手機系統中,病毒也很難附加在文本內容上。
但是隨著手機行業的快速發展和基於手機的應用不斷增多,這種局面已經開始發生變化,特別是:
1. K-JAVA大量運用於手機,使得編寫用於手機的程序越來越容易,一個普通的Java程序員甚至都可以編寫出能傳播的病毒程序;
2. 基於Symbian、Pocket PC和SmartPhone的操作系統的手機不斷擴大,同時手機使用的芯片(如Intel 的Strong ARM)等硬件也不斷固定下來,使手機有了比較標準的操作系統,而且這些手機操作系統廠商甚至芯片都是對用戶開放API並且鼓勵在他們之上做開發的,這樣在方便用戶的同時,也方便了病毒編寫者,他們只需查閱芯片廠商或者手機操作系統廠商提供的手冊就可以編寫出基於手機的病毒,甚至這樣的可以破壞硬件。
3. 手機的容量不斷擴大既增加了手機的功能,同時也使得病毒有了藏身之地。現在的很多手機都有比較大的容量,甚至能外接CF卡,這樣病毒就不再也不用發出「天下雖大,卻沒有我容身之地」的感歎了;
4. 手機直接傳輸的內容也複雜了很多,有以前只有文本的SMS發展到現在支持2進制格式文件的EMS和MMS,因此病毒就可以附加在這些文件中進行傳播。
從以上分析可以看出,現在的手機發展為手機病毒的產生、保存、傳播都創造了條件,因此手機病毒的出現和發展也僅僅只是時間問題而已。
防範手機病毒:如果我們可以放棄豐富的娛樂、便捷的工作、美好的生活,那手機病毒或許就可以遠離我們,但我們都有願望和權力選擇更美好、更豐富的生活,所以我們要做打一場防範手機病毒戰爭的準備也就在所難免了。從手機病毒的特點來分析,我們可以採取以下措施:
1.堅守手機堡壘:手機是手機病毒寄生和發作的溫床,因此要防範手機病毒,就要在手機上做好安全,手機廠商要防止出現手機的安全漏洞,用戶要注意不能隨便下載不確定來源的文件(包括手機鈴聲和圖片存儲到手機中的文件),殺毒軟件廠商也要開發出手機殺毒軟件(目前Trend micro、Mcafee、f-secure等公司已經有了PDA版本的殺毒軟件);
2.堵死手機病毒傳播通道:手機病毒的通道主要是移動運營商提供的網關,因此在網關上進行殺毒是防止手機病毒擴散的最好辦法,國內的安全組織Xfocus在這方面做了比較深入的研究,分析了SMS、EMS和MMS的協議分析,並在這基礎上對其中包含的內容進行掃瞄,確保傳送的內容是安全可靠的。
3.亂碼短信、彩信,刪。亂碼短信、彩信可能帶有病毒,收到此類短信後立即刪除,以免感染手機病毒。
4.不要接受陌生請求。利用無線傳送功能比如藍牙、紅外接收信息時,一定要選擇安全可靠的傳送對象,如果有陌生設備請求連接最好不要接受。因為前面說過,手機病毒會自動搜索無線範圍內的設備進行病毒的傳播。
5.保證下載的安全性。 現在網上有許多資源提供手機下載,然而很多病毒就隱藏在這些資源中,這就要求用戶在使用手機下載各種資源的時候確保下載站點是否安全可靠,盡量避免去個人網站下載。
6.選擇手機自帶背景。 漂亮的背景圖片與屏保固然讓人賞心悅目,但圖片中帶有病毒就不爽了,所以用戶最好使用手機自帶的圖片進行背景設置。
7.不要瀏覽危險網站。 比如一些黑客,色情網站,本身就是很危險的,其中隱匿著許多病毒與木馬,用手機瀏覽此類網站是非常危險的。
隨著手機的不斷發展和基於手機業務的不斷擴大,手機病毒的危險也是越來越大,但是只要我們提高安全意識,注意安全,手機病毒也是可以防範的。
