手機“病毒”分析及查殺

你見過手機病毒嗎？手機病毒是怎么工作的？手機病毒如何查殺？我們共同來探討一下這些話題。
　
　　我在手機“病毒”上加了引號，是因為我到目前為止沒有見過真正的手機病毒，我們知道，病毒應該具有以下特點：1、傳染性    2、破壞性    3、潛伏性    4、可觸發性    5、寄生性手機病毒按病毒形式可以分為四大類：1.通過“無紅傳送”藍牙設備傳播的病毒“卡比爾”、“Lasco.A”。
　
　　小知識： “卡比爾”（ Cabir）是一種網絡蠕蟲病毒，它可以感染運行“Symbian”操作系統的手機。手機中了該病毒后，使用藍牙無線功能會對鄰近的其它存在漏洞的手機進行掃描，在發現漏洞手機后，病毒就會復制自己并發送到該手機上。
　
　　Lasco.A病毒 與蠕蟲病毒一樣，通過藍牙無線傳播到其它手機上， 當用戶點擊病毒文件后，病毒隨即被激活。
　
　　2.針對移動通訊商的手機病毒“蚊子木馬”。
　
　　小知識： 該病毒隱藏于手機游戲“打蚊子”的破解版中。雖然該病毒不會竊取或破壞用戶資料，但是它會自動撥號，向所在地為英國的號碼發送大量文本信息，結果導致用戶的信息費劇增。
　
　　3.針對手機BUG的病毒“移動黑客”。
　
　　小知識： 移動黑客（ Hack.mobile.smsdos）病毒通過帶有病毒程序的短信傳播，只要用戶查看帶有病毒的短信，手機即刻自動關閉。
　
　　4.利用短信或彩信進行攻擊的“Mobile.SMSDOS”病毒，典型的例子就是出現的針對西門子手機的“Mobile.SMSDOS”病毒。
　
　　小知識： “ Mobile.SMSDOS”病毒可以利用短信或彩信進行傳播，造成手機內部程序出錯，從而導致手機不能正常工作。
　
　　常見手機病毒及其毒發癥狀EPOC_ALARM ： 手機持續發出警告聲音EPOC_BANDINFO.A ： 將用戶信息更改為 “ Some fool own this ”
　
　　EPOC_FAKE.A ： 在手機屏幕上顯示格式化內置硬盤時畫面，嚇人把戲，不會真格EPOC_GHOST.A ： 在畫面上顯示 “ Every one hates you ” （每個人都討厭你）
　
　　EPOC_LIGHTS.A ： 讓背景光不停閃爍EPOC_ALONE.A ： 這是一種惡性病毒，會使鍵操作失效。
　
　　Timofonica ： 給地址簿中的郵箱發送帶毒郵件，還能通過短信服務器中轉向手機發送大量短信。
　
　　Hack.mobile.smsdos ：會讓手機死機或自動關機。
　
　　Unavaifabie ： 當有來電時，屏幕上顯示 “ Unavaifaule ” （故障）字樣或一些奇怪的字符。如果此時接起電話則會染上病毒，同時丟失手機內所有資料。
　
　　Trojanhorse ： 惡意病毒，病毒發作時會利用通迅簿向外撥打電話或發送郵件。甚至打電話找警察。
　
　　從以上分析我們可以看出，針對手機的攻擊程序都沒有寄生性和傳染性的特點，因此我們還不能把它們稱之為“病毒”，只能把他們稱為手機漏洞的攻擊程序。以下我們詳細分析這些程序，以及他們利用的手機漏洞。
　
　　手機漏洞分析，根據漏洞發現時間上的先后順序，我把已經公布的手機漏洞進行了整理，到目前為止，主要有以下一些手機漏洞：1、Nokia  某些產品PDU格式漏洞：荷蘭安全公司ITSX的研究人員發現，諾基亞的一些流行型號的手機的操作系統由于沒有對短信的PDU格式做例外處理，存在一個Bug，黑客可以利用這個安全漏洞向手機發送一條160個字符以下長度的畸形電子文本短信息來使操作系統崩潰。該漏洞主要影響諾基亞3310、3330和6210型手機。
　
　　2、Siemens 35系列特殊字符漏洞：由于手機使用范圍逐漸擴大，中國安全人士對手機、無線網絡的安全也產生了興趣，2001年底，中國安全組織Xfocus的研究人員也發現西門子 35系列手機在處理一些特殊字符時也存在漏洞，將直接導致手機關機。
　
　　3、Panasonic的GD87彩信手機存在漏洞：2002年12月，T-Mobile International AG 公司確認了在新款松下彩信手機軟件中出現了漏洞，這個漏洞可以讓手機不經過使用者的同意而訪問付費服務，其中的原因是GD87支持WAP PUSH中的service loading方式。
　
　　4、Orange 的SPV  存在允許運行非認證軟件漏洞：英國電信商Orange的SPV是市面上第一款采用微軟Smartphone 2002操作系統的手機，基于安全考慮，Orange只允許經過該公司認證的軟件才能 在SPV手機上執行。但2003年初已有黑客破解SPV上的安全機制，并公開此一破解方法，這樣，程序無須通過Orange認證，就可直接流入網絡， 用在SPV手機上，從而對用戶的手機產生破壞。
　
　　5、Nokia的Vcard存在漏洞：VCard格式是一種全球性的MIME標準，最早由Lotus和Netscape提出。該格式實現了通過電子郵件或者手機來交換名片。Nokia的6610、6210、6310、8310等系列手機都支持Vcard，但是其6210手機被證實在處理Vcard上存在格式化字符串漏洞。攻擊者如果發送包含格式字符串的vCard惡意信息給手機設備，可導致SMS服務崩潰，使手機被鎖或重啟動。
　
　　6、Siemens的"%String"漏洞：2003年3月，西門子*35和*45系列手機在處理短信時，在處理短信時遇到問題。當接受到"%String"形式的短信時，如“%English”西門子手機系統以為是要更操作改系統語言為英文，從而導致在查看該類短信時死機，利用這一點很容易使西門子這類手機遭受拒絕服務攻擊。
　
　　手機病毒趨勢：雖然已經在不少手機上發現了安全問題，但是到目前為止，還沒有看到真正意義上的手機病毒，這并不是因為沒有人愿意寫，而是存在著不少困難：1.　手機操作系統是專有操作系統，不對普通用戶開放，不像電腦操作系統，容易學習、調試和程序編寫，而且它所使用的芯片等硬件也都是專用的，平時很難接觸到；2.　手機系統中可以“寫”的地方太少，在以前的手機中，用戶是不可以往手機里面寫數據的，唯一可以保存數據的只有SIM卡，而這么一點容量要想保存一個可以執行的程序非常困難，況且保存的數據還要繞過SIM卡的格式。
　
　　3.　以前手機接收的數據基本上都是文本格式數據，我們知道文本格式也是計算機系統中最難附帶病毒的文件格式，同樣在手機系統中，病毒也很難附加在文本內容上。
　
　　但是隨著手機行業的快速發展和基于手機的應用不斷增多，這種局面已經開始發生變化，特別是：1.　K－JAVA大量運用于手機，使得編寫用于手機的程序越來越容易，一個普通的Java程序員甚至都可以編寫出能傳播的病毒程序；2.　基于Symbian、Pocket PC和SmartPhone的操作系統的手機不斷擴大，同時手機使用的芯片（如Intel 的Strong ARM）等硬件也不斷固定下來，使手機有了比較標準的操作系統，而且這些手機操作系統廠商甚至芯片都是對用戶開放API并且鼓勵在他們之上做開發的，這樣在方便用戶的同時，也方便了病毒編寫者，他們只需查閱芯片廠商或者手機操作系統廠商提供的手冊就可以編寫出基于手機的病毒，甚至這樣的可以破壞硬件。
　
　　3.　手機的容量不斷擴大既增加了手機的功能，同時也使得病毒有了藏身之地?，F在的很多手機都有比較大的容量，甚至能外接CF卡，這樣病毒就不再也不用發出“天下雖大，卻沒有我容身之地”的感嘆了；4.　手機直接傳輸的內容也復雜了很多，有以前只有文本的SMS發展到現在支持2進制格式文件的EMS和MMS，因此病毒就可以附加在這些文件中進行傳播。

原文轉自：http://www.kjueaiud.com