慧聪网首页所有行业资讯中心企业管理商务指南展会访谈行业研究博客慧聪吧找供应找求购免费注册立即登录加入买卖通即时沟通网站导航

Sybian手机病毒原理分析

2006/1/11/10:27 来源:IT专家网

    趋势科技发布了即可以攻击Symbian手机,还能攻击个人电脑的SYMBOS_CARDTRP.A病毒警报。趋势科技表示虽然在过去几年里,人们比较关注手机病毒,但由于其传播能力有限,危害性不如PC病毒,导致大多数人并不认为这是个严重的威胁。趋势科技安全专家一直警告说,喜欢新兴技术的病毒作者将不断提高手机病毒的破坏性,并且最终将发展至全面的移动攻击。如今,趋势科技公司防病毒和内容安全研究人员发现了这种移动威胁,这表明病毒作者一直都没有停止研究移动攻击技术的努力。

  SYMBOS_CARDTRP.A病毒的出现把手机病毒提高到一个新的层次, 它不仅攻击Symbian 60系列手机,而且攻击运行微软操作系统的个人电脑。它能够通过以下两种途径得到传播:

  1) 通过蓝牙技术或彩信手动接收到病毒

  2) 通过网络下载并安装了病毒

  现在来了解一下它的工作过程:

  如同以前的病毒一样, SYMBOS_CARDTRP. A采用了伪装技术,诱骗用户从蓝牙接收或者从网络下载。病毒安装包到达移动设备。

  一旦用户安装, 病毒使用SKULLS病毒(著名的骷髅头病毒)技术重写安装在受感染手机的大多数应用程序,从而导致这些应用程序无法正常工作。其中包括文件管理应用程序,使用户不能够轻易删除病毒文件.

  同时该病毒包括一个Caribe病毒,一旦安装就会被执行,向附近的手机传播Caribe病毒.

  这种病毒同其他病毒的不同之处在于感染基于 Windows的个人电脑的能力。如果用户将受到感染的存储卡插入到个人电脑中,病毒就有可能感染个人电脑,并随后试图扩散到其他电脑中。

  SYMBOS_CARDTRP.A将下列4个文件保存在 E:\目录中。 (在手机中一般是外部存储卡):

  fsb.exe,被趋势科技检测为 BKDR_BERBEW.Q,会企图危及机器并盗取密码信息

  buburuz.ICO,显示为存储卡的图标文件

  autorun.inf,会企图自动执行fsb.exe文件

  SYSTEM.exe,被趋势科技检测为 WORM_WUKILL.B

  当存储卡插入一台装有Windows操作系统的计算机中时,autorun.inf文件就会试图执行 fsb.exe文件。同时,尽管SYSTEM.exe不包括自启动路径 ,但是它会显示为一个合法的文件夹图标,并试图引诱用户去打开它。

  一旦成功执行,恶意程序就会加载 WORM_WUKILL.B,从而试图向其他的个人电脑传播。

  通过对CardTrap.A病毒的分析,我们可以看出病毒作者对手机使用者行为的洞悉,现在大多数用户对手机安全没有太多的认知,很多手机没有装防病毒软件,一旦手机中毒,一般都是把手机存储卡插入PC,从PC上拷贝防病毒软件,殊不知这样就中了病毒的招。

  在这个阶段,通过 SYMBOS_CARDTRP进行感染的可能性还是比较低的。保持警觉是比较谨慎的。“这种攻击只是一种概念型病毒,但是它预示着一种新型混合攻击即将来临”。“由于移动攻击会继续演化,很可能我们将来会看到类似攻击。由于通讯传播技术越来越强大,手机携带感染的潜力就会越大。”

  安全专家推荐用户采取下列措施来防范此类以及其他类型的攻击。

  1) 不要接受你所不认识的人发送过来的任何应用程序或短消息, 尤其是出乎预料的应用程序或短消息。

  2) 只从可信任的站点下载应用程序。即使是可信任的站点,下载之前,也要证实该程序是你所期望下载的程序。

  3) 安装专业厂商的手机防病毒软件。

  

我要评论

】 【打印