《计算机病毒及其防范技术》第八章 移动终端恶意代码

第八章移动终端恶意代码本章学习目标了解移动终端掌握移动终端恶意代码的基本概念了解移动终端操作系统了解移动终端恶意代码的危害和防范了解移动终端杀毒工具据中国手机市场2006年年度报告预测，未来5年内，中国智能手机的市场份额将从6%增长到20%。智能化功能在给用户带来便利的同时，也带来了潜在的安全问题。据ScientificAmerican报告，到2006年8月，全球移动终端恶意代码总数量已超过300多个。全球移动终端恶意代码数量统计移动终端（MobileTerminal-MT）涵盖所有的现有的和即将出现的各式各样、各种功能的手机和PDA（PersonalDigitalAssistant,个人数字助理）。随着无线移动通信技术和应用的发展，使现有的手持设备功能变得丰富多彩，它可以照、摄像，可以是一个小型移动电视机、也可以是可视电话机，并可具有PC大部分功能，当然它也可以用作移动电子商务，可作认证，将来还可作持有者身份证明（身份证、护照），它也是个人移动娱乐终端。总之，移动终端可以在移动中完成语音、数据、图像等各种信息的交换和再现。手机病毒手机病毒的定义是：“手机病毒和计算机病毒一样，以手机为感染对象，以手机网络和计算机网络为平台，通过病毒短信等形式，对手机进行攻击，从而造成手机异常的一种新型病毒。”移动终端恶意代码移动终端恶意代码是对移动终端各种病毒的广义称呼，它包括以移动终端为感染对象而设计的普通病毒、木马等。移动终端恶意代码以移动终端为感染对象，以移动终端网络和计算机网络为平台，通过无线或有线通讯等方式，对移动终端进行攻击，从而造成移动终端异常的各种不良程序代码。移动终端操作系统基于PalmOS操作系统的Palm系列掌上电脑和兼容产品Visor、TRGpro等；基于MicrosoftWindows操作系统的掌上电脑，即WinCE、PocketPC和PocketPC2002；基于Linux的掌上电脑；基于EPOC的掌上电脑。智能手机操作系统1.Symbian1998年6月，由爱立信、诺基亚、摩托罗拉和Psion共同出资，筹建了Symbian公司。Symbian公司以开发和供应先进、开放、标准的手机操作系统SymbianOS为目标。Symbian公司同时向那些希望开发基于SymbianOS产品的厂商发放软件许可证。SymbianOS在全球掌上电脑和智能手机市场上占据了大部分的份额。Symbian的优势在于它得到了占据市场份额大多数的手持通讯设备厂商的支持，在NOKIA的大力倡导下，已经成为一个开放的、易用的、专业的开发平台，支持C++和java语言。2.WindowsMobile微软在移动终端操作系统有三个系列，分别位PocketPC、PocketPCPhoneEdition和Smartphone统称为WindowsMobile。准确的说，WindowsMobile并不算是一个操作系统，只是微软旗下的一个品牌而已。WindowsMobile的前身就是微软在1996年推出的WindowsCE。2000年第二季度，微软WindowsCE正式脱离对Palm的依赖，把WindowsCE更名为WindowsPocketPC（缩写为PPC），进而开始了与智能手机联姻。到了2003年，微软又开发了PocketPhoneEdition和WindowsPoweredSmartPhone操作系统，而这两者的融合，才是严格意义上的WindowsMobile。WindowsMobile更倾向于手机和个人电脑的融合，由于WindowsMobile沿用了微软Windows操作系统的界面，许多用户都能很快上手。3.Linux虽然Symbian已经占据智能手机市场的半壁江山，但看似势单力薄的Linux操作系统，却也具有相当突出的优势。其优势表现在以下几点：应用于智能手机上的Linux操作系统和我们常说的应用于电脑上的Linux操作系统是一个系统，而且都是全免费操作系统。在操作系统上的免费，就等于节省了产品的生产成本。Linux操作系统系统资源占用率较低，而且性能比较稳定，这都是大家公认的。如果以Linux平台的系统资源占用程度同体积庞大的WindowsMobile相比，其结果可想而知。Linux操作系统与JAVA的相互融合，是任何一个操作系统所不能比拟的，Linux加JAVA的应用方式，能够给用户极大的拓展空间。4.Palm采用Palm操作系统的手机，其实就是“具备移动电话功能的掌上电脑”而已，其操作系统和以往基于Palm操作系统的掌上电脑的操作系统没什么区别。智能手机领域里采用Palm操作系统的都是些非主流厂商，例如惠普之类，虽然三星推出了SCH-i539，但其前景并不看好。PDA操作系统1.PalmPalm操作系统是一套极具开放性的系统，开发者向用户免费提供Palm操作系统的开发工具，允许用户利用该工具在Palm操作系统的基础上方便地编写、修改相关软件，使支持Palm的应用程序丰富多采、应有尽有。2.WinCE在Palm大行其道的同时，微软也推出了自己的掌上电脑WinCE操作系统。它是一个类似于传统视窗操作系统的嵌入式系统，其用户界面使人觉得非常亲切。但是WinCE操作系统的开发工具相对于Palm就要复杂得多，一般用户很难自己编写所需要的相关软件，所以支持这一平台的应用软件较少。WinCE具有录音功能、MP3播放功能等，而从实际使用情况来看，WinCE的录音及MP3功能尚显得略为粗糙，音质也还不够完善，由于WinCE部分高档机型支持彩色显示，因此耗电量极大，并且由于WinCE本身对于资源的巨大吞噬而在能耗方面要远逊于Palm操作系统。3.PocketPCPocketPC结合了PalmOS的优点，例如手写识别、单键激活菜单和动态同步以及Win98基于InternetExplorer的友好界面。虽然微软的Transcriber允许在显示屏的任何区域书写，表面上看来要比Palm限制书写区域的好，而学习起来没有Graffiti直观，这可能也是PocketPC最大的缺点。4.LINUX嵌入式Linux具备了Linux所有功能和优点：支持多用户、多进程、多线程、实时性较好的功能强大而稳定的操作系统；应用软件方面，Linux掌上电脑可以全面使用办公应用软件；其多任务操作可以为用户提供多媒体和互联网服务，由于PocketPC已具备多任务功能，所以Linux的多任务操作也并不具有长期优势，而且到那时，Palm也将有能力作到这一点。5.EPOCEPOC这个词起源于世界将会进入“anewepochofpersonalconvenience”。Psion宣布EPOC的第一个版本是开放式操作系统，并向其它厂商授权，在开始时EPOC就加上了无线通信和增加应用程序的体系，随后Psion与爱立信、诺基亚、摩托罗拉等建立了名为“Symbian”的公司，EPOC就是Symbian公司推出的一种应用于各种掌上设备的内嵌式操作系统。由于EPOC主要是为便携式设备而设计的开放式操作系统，所以成为了WinCE强有力的竞争对手。6.POCKETPC2002PocketPC2002的优点如下：PocketPC平台的三个最大缺点中内存管理被用户列在首位，而PocketPC2002具有良好的内存管理功能，采用了“SmartMinimize”功能，该功能采用层式内存管理技术，让经常运行的程序驻留在内存中，以此来保证系统一直都有足够的内存来运行程序；PocketPC2002集成了功能强大的PeacemakerPro，支持OBEX协议标准的红外传输功能不仅能够支持Palm设备，而且也支持具有红外端子的手机；PocketPC2002在安全功能上，除了以前传统的4位数字密码功能外，还提供了字母密码保护，两者结合起来能更有效的保护数据安全。移动终端操作系统弱点移动终端操作系统具有很多和普通计算机操作系统相似的弱点。不过，其最大的弱点还在于移动终端比现有的台式机更缺乏安全措施。移动终端操作系统就不同了，移动终端操作系统的设计人员从一开始就没有太多的空间来考虑操作系统的安全问题，而且，移动终端操作系统也没有像PC操作系统那样经过严格的测试。甚至在国际通用的信息安全评估准则（ISO15408）中，都没有涉及到移动终端操作系统的安全。移动终端操作系统的弱点主要体现在以下几个方面：移动终端操作系统不支持任意的访问控制（DAC,DiscretionaryAccessControl），也就是说，它不能够区分一个用户同另一个用户的个人私密数据。移动终端操作系统不具备审计能力。移动终端操作系统缺少通过使用身份标示符或者身份认证进行重用控制的能力。移动终端操作系统不对数据完整性进行保护。即使部分系统有密码保护，恶意用户仍然可以使用调试模式轻易的得到用户密码，或者使用类似PalmCrypt这样的简单工具得到密码。在密码锁定的情况下，移动终端操作系统仍然允许安装新的应用程序。移动终端恶意代码关键技术传播途径终端-终端：手机直接感染手机，其中间桥梁是诸如蓝牙、红外等无线连接。通过该途经传播的最著名的病毒实例就是国际病毒编写小组“29A”发布Cabir病毒。Cabir病毒通过手机的蓝牙设备传播，使染毒的蓝牙手机通过无线方式搜索并传染其它蓝牙手机。终端-网关-终端：手机通过发送含毒程序或数据给网关（例如，WAP服务器、短信平台等），网关染毒后再把病毒传染给其他终端或则干扰其他终端。典型的例子是VBS.Timofonica病毒，它的破坏方式是感染短信平台后，通过短信平台向用户发送垃圾信息或广告。PC（计算机）-终端：病毒先寄宿在普通计算机上，当移动终端连接染毒计算机时，病毒传染给移动终端。移动终端恶意代码攻击方式：一是短信息攻击：主要是以“病毒短信”的方式发起攻击。二是直接攻击手机：直接攻击相邻手机，Cabir病毒就是这种病毒。三是攻击网关：控制WAP或短信平台，并通过网关向手机发送垃圾信息，干扰手机用户，甚至导致网络运行瘫痪。四是攻击漏洞：攻击字符格式漏洞，攻击职能手机操作系统漏洞，攻击应用程序运行环境漏洞，攻击应用程序漏洞。五是木马型恶意代码：利用用户的疏忽，以合法身份侵入移动终端，并伺机窃取资料的病毒。例如，Skulls病毒是典型木马病毒。恶意代码生存环境1.系统相对封闭移动终端操作系统是专用操作系统，不对普通用户开放（不像计算机操作系统，容易学习、调试和程序编写），而且它所使用的芯片等硬件也都是专用的，平时很难接触到。2.创作空间狭窄移动终端设备中可以“写”的地方太少。例如，在初期的手机设备中，用户是不可以向手机里面写数据的，唯一可以保存数据的只有SIM卡。这么一点容量要想保存一个可以执行的程序非常困难，况且保存的数据还要绕过SIM卡的格式。3.数据格式单调以初期的手机设备为例，这些设备接收的数据基本上都是文本格式数据。文本格式是计算机系统中最难附带病毒的文件格式。同理，在移动终端中，病毒也很难附加在文本内容上进行传播。移动终端恶意代码产生契机1.类JAVA程序的应用类JAVA程序大量运用于移动终端设备，使得编写用于移动终端上的程序越来越容易，一个普通的Java程序员甚至都可以编写出能传播的恶意代码程序。2.操作系统相对稳定基于Symbian、PocketPC、WinCE和SmartPhone的操作系统的终端设备不断扩大，同时设备使用的芯片（如Intel的StrongARM）等硬件也不断固定下来，使它们有了比较标准的操作系统。并且，这些操作系统厂商甚至芯片都对用户开放API，并且鼓励在其上做开发工作，这样在方便用户的同时，也方便了病毒编写者，破坏者只需查阅芯片厂商或者操作系统厂商提供的手册就可以编写出运行于移动终端上的恶意代码病毒。3.容量不断扩大移动终端设备的容量不断扩大，既增加了其功能，同时也使得病毒有了藏身之地。例如，新型的智能手机都有比较大的容量，甚至能外接CF卡。4.数据格式多媒体化移动终端直接应用、传输的内容也复杂了很多，从以前只有文本发展到现在支持二进制格式文件，因此病毒就可以附加在这些文件中进行传播。移动终端设备的漏洞1.PDU格式漏洞2002年1月,荷兰安全公司ITSX的研究人员发现，诺基亚的一些流行型号的手机的操作系统由于没有对短信的PDU格式做例外处理，存在一个bug。黑客可以利用这个安全漏洞向手机发送一条160个字符以下长度的畸形电子文本短信息来使操作系统崩溃。该漏洞主要影响诺基亚3310、3330和6210型手机。2.特殊字符漏洞由于手机使用范围逐渐扩大，中国安全人士对手机、无线网络的安全也产生了兴趣。2001年底，中国安全组织Xfocus的研究人员发现西门子35系列手机在处理一些特殊字符时存在漏洞，将直接导致手机关机。3.Vcard漏洞VCard格式是一种全球性的MIME标准，最早由Lotus和Netscape提出。该格式实现了通过电子邮件或者手机来交换名片。诺基亚的6610、6210、6310、8310等系列手机都支持Vcard，但是其6210手机被证实在处理Vcard上存在格式化字符串漏洞。攻击者如果发送包含格式字符串的Vcard恶意信息给手机设备，可导致SMS服务崩溃，使手机被锁或重启动。4.Siemens的“%String”漏洞2003年3月，西门子35和45系列手机在处理短信时遇到问题。当接受到“%String”形式的短信时，如“%English”西门子手机系统以为是要更操作改系统语言为英文，从而导致在查看该类短信时死机,利用这一点很容易使西门子这类手机遭受拒绝服务攻击。1.“EPOC”病毒病毒共有6种：“EPOC＿ALARM”，发作时持续发出警告声音。“EPOC＿BANDINFO.A”，发作时将用户信息变更为“Somefoolownthis”。“EPOC＿FAKE.A”，发作时在手机的屏幕上显示格式化内置硬盘画面，但不执行格式化操作。“EPOC＿GHOST.A”，发作时在画面上显示“Everyonehatesyou”的话。移动终端恶意代码实例“EPOC＿LIGHTS.A”，发作时使背景灯BackLight持续闪烁。“EPOC＿ALONE.A”，发作时使键盘操作失效等。这6种病毒中前5种的危害并不很大，并且还有种恶作剧的味道，但第六种“EPOC＿ALONE.A”却是一种恶性病毒。当计算机执行有毒的程序时，会显示红外线通信接收文件时所显示的画面，并在此时将病毒悄悄地藏入内存之中。当病毒在内存中安营扎寨之后，会在计算机画面上显示“Warning－Virus”的信息，此后手机便不接受任何键盘操作。在发现以后，可以输入“leavemealone”来解除病毒常驻。2.VBS.Timofonica移动终端恶意代码的初次登场是在2000年6月，它就是著名的VBS.Timofonica。这是第一个攻击手机的病毒。该病毒通过西班牙的运营商Telefonica的移动系统向该系统内的任意用户发送骂人的短消息，这种攻击模式类似于邮件炸弹，它通过短信服务运营商提供的路由可以向任何用户发送大量垃圾信息或者广告，在大众眼里，这种短信炸弹充其量也只能算是恶作剧而已。可以看出该病毒并非真正意义上的移动终端恶意代码，因为它寄宿在普通的计算机系统中。3.“Unavailable”病毒

这是最初在越南出现的一种破坏移动电话的病毒。当对方拨电话到来时，本来屏幕上显示的应该是来电者的电话号码，但却显示“Unavailable”字样或一些奇异的符号。此时千万不要答复来电，否则就会染上该种病毒，同时机内所有资讯及设定均将被破坏(包括缴费使用电话卡的电话在内)，一旦发生此情况，可能要换一部新的移动电话。4.通讯录盗窃犯（pbstealer）这是一款盗窃手机用户联系人信息的手机病毒。如果不幸被它感染以后，它会在短暂时间内盗取名片夹中联系人信息，并通过蓝牙泄露联系人信息。5.吞钱贪婪鬼（commwarrior）该病毒也就是彩信病毒。也许此病毒对广大智能用户来说并不陌生，此病毒今年已经在我国大出风头，是名副其实的吞钱机器。感染上它以后，它会每隔几妙钟就偷偷的向你通讯录中的号码发送彩信（不管是移动、联通、小灵通）。彩信的费用和发彩信的频率可以造成个人的直接资费损失。6.Skulls病毒Skulls是一个恶意SIS文件木马，用无法使用的版本替换系统应用程序，以致除电话功能外的所有功能都无法使用。

Skulls安装的应用程序文件是从手机ROM解压的正常的SymbianOS文件。但是由于SymbianOS的特征，将它们复制到手机C盘中正确的位置，会导致关键的系统应用程序无法使用。7.Cabir系列病毒Cabir是一个使用蓝牙传播的蠕虫，运行于支持60系列平台的Symbian手机。Cabir通过蓝牙连接复制，作为包含蠕虫的caribe.sis文件到达手机收信箱。当用户点击caribe.sis并选择安装Caribe.sis文件时，蠕虫激活并开始通过蓝牙寻找新的手机感染。当Cabir蠕虫发现另一个蓝牙手机时，它将开始向其发送感染SIS文件，并锁定这个手机，以至于即使目标离开范围时它也不会寻找其他手机。Cabir蠕虫只能到达支持蓝牙且处于可发现模式的手机。8.Lasco系列病毒Lasco是一个使用蓝牙传播的蠕虫。病毒感染运行于支持60系列平台的Symbian手机。Lasco通过蓝牙连接复制，作为包含蠕虫的velasco.sis文件到达手机收信箱。当用户点velasco.sis并选择安装时，蠕虫激活并开始通过蓝牙寻找新的手机以进行感染。当Lasco蠕虫发现另一个蓝牙手机时，只要目标手机在范围内，它就开始向其发送velasco.sis文件的拷贝。像Cabir.H病毒一样，Lasco.A在第一个目标离开范围后，能够发现新目标。除了通过蓝牙发送自身外，Lasco.A也能够通过将自身嵌入手机中发现的SIS文件来复制。一个感染的SIS文件被复制到另一个手机上，Lasco.A安装会在首次安装任务内部开始，询问用户是否安装Velasco。防范1.注意来电信息当对方的电话打过来时，正常情况下，屏幕上显示的应该是来电电话号码。如果用户发现显示别的字样或奇异的符号，接电话者应不回答或立即把电话关闭。2.谨慎网络下载病毒要想侵入终端设备，捆绑到下载程序上是一个重要途径。因此，当用户经手机上网时，尽量不要下载信息和资料，如果需要下载手机铃声或图片，应该到正规网站下载，即使出现问题也可以找到源头。3.不接收怪异短信短信息（彩信）中可能存在的病毒，短信息的收发越来越成为移动通信的一个重要方式，然而短信息也是感染手机病毒的一个重要途径。当用户接到怪异的短信时应当立即删除。4.关闭无线连接采用蓝牙技术和红外技术的手机与外界（包括手机之间，手机与电脑之间）传输数据的方式更加便捷和频繁，但对自己不了解得信息来源，应该关掉蓝牙或红外线等无线设备。如果发现自己的蓝牙或红外手机出现了病毒，应及时向厂商或软件公司询问并安装补丁。5.关注安全信息关注主流信息安全厂商提供的资讯信息，及时了解手持设备的发展现状和发作现象，做到防患于未然。杀毒工具1.国外移动终端恶意代码防范技术及其产品BitDefender手机杀毒软件是用来保护移动终端免受恶意代码入侵的。该软件主要包括两个独立的模块：病毒查杀模块和自动更新模块。病毒查杀模块运行于移动终端设备上，并为设备提供实时保护。自动更新模块运行于PC机上，用来安装配置移动设备上的病毒查杀模块，同时提供病毒库更新功能。其主要特征是：实时保护，病毒扫描和清除，容易更新以及专业技术支持。芬兰的F-Secure

Corporation于Cabir

病毒被发现后即投入手机病毒查杀市场，现已经开发出涵盖主要智能手机平台的手机安全产品。诺基亚公司最近宣布，为了更好地维护手机安全，将在其S603rd版本的手机上统一安装反病毒厂商F-Secure公司的反病毒软件。而且今后凡是代号为“E”系列的手机都可以直接从诺基亚公司网站的目录服务中下载反病毒客户端；N71系列手机的反病毒软件则将被事先安置在手机的储存卡上和手机一起出售。McAfeeMobileSecurity是专为移动生态系统设计、构造和实施的平台，可前瞻性地保护移动设备免受安全威胁、漏洞和技术滥用的侵扰。它让制造商有机会增加输入来源、使自己的设备独树一帜以及提供高品质的产品。它能够在200毫秒内检测到恶意软件。在发现病毒时，它会清除病毒，防止其传播。通过保障客户的移动网络设备的安全，也保障了运营商合作伙伴的网络安全。McAfeeVirusScanMobile的安装和运行时要求非常低，嵌入式版本所占用的设备空间不超过500KB。总部位于日本东京和美国硅谷的TREND

MicroCorporation针对智能手机用户推出了免费的TrendMicro

Mobile

Security解决方案，通过这种解决方案，趋势能够为客户通信、娱乐设备提供实时、可在线更新的安全保护。趋势科技的移动安全精灵为智能数字移动设备提供了各种病毒威胁保护以及SMS垃圾短信过滤功能。俄罗斯的Kaspersky

Lab已经推出针对Symbian

OS智能手机的杀毒软件。这个软件名为“Anti-Virus

Mobile

2.0”，它能够阻止手机可疑程序的运行。安装了Anti-Virus

Mobile

2.0的用户可以通过WAP或者HTTP方式下载卡巴斯基的病毒升级库。据悉，Anti-Virus

Mobile

2.0兼容Symbian

6.1、7.0s、8.0、8.1OS以及Series

60手机平台。SymantecMobileSecurityCorporateEditionforSymbian为智能型手机提供整合式防毒及防火墙功能。它针对所有Symbian档案型的恶意威胁(例如病毒、木马程序)，提供了主动式防护。集中化管理让系统管理员能执行安全政策，而自动更新则可让装置上的防护能力维持在最新状态。系统的主要功能