随着移动业务的快速发展,手机的用户数量增长迅猛,同时手机终端的能力也快速增强。手机由原来只能完成话音处理的简单通话设备逐步演变为能够处理多种数据业务、装载智能操作系统、拥有强大处理能力的智能终端。而随着智能手机日益普及,手机愈来愈像一个小型计算机,可以安装程序,执行程序等。而计算机世界的毒瘤——病毒,也不可避免的开始出现在手机中。
手机病毒的产生和发展
手机病毒于2004年6月出现,名称为“卡比尔”、“Lasco.A”,它们是通过蓝牙设备传播的病毒。“卡比尔”(Cabir)是一种网络蠕虫病毒,它可以感染运行“Symbian”操作系统的手机。手机中了该病毒后,使用蓝牙无线功能会对邻近的其它存在漏洞的手机进行扫描,在发现漏洞手机后,病毒就会复制自己并发送到该手机上。Lasco.A病毒与Cabir蠕虫病毒一样,通过蓝牙无线传播到其它手机上,当用户点击病毒文件后,病毒随即被激活。
2005年1月最早出现于芬兰的“CommWarrior.A”病毒,是全球第一个通过移动多媒体消息服务(MMS)传播的病毒,该病毒在基于Symbian系统(主要是诺基亚60系列手机)中传播,目前已出现在二十几个国家(包括中国)。根据安全厂商F-Secure公司称,目前的手机病毒数量已经由2004年初的不足10个增长到了87个,其中有82个在Symbianseries60操作系统上运行。
如果说蓝牙构成了手机世界的“局域网”,那GPRS则构成了手机世界的“互联网”,WAP,Kjava是“手机互联网”上的应用,MMS则如E-Mail一样,使手机间可以方便的进行信息交互。这为手机病毒的传播提供了便利的条件。在互联网上邮件病毒已成为病毒发展的主流,目前80%-90%以上病毒都通过邮件方式传播。在“手机互联网”上,基于彩信的“CommWarrior.A”病毒的出现,预示着手机病毒已经从萌芽期进入了成长期,手机病毒很快将进入恶意和快速扩散时代。由于彩信病毒的流传范围广、危害性大,本文将重点分析彩信病毒。
彩信病毒
(1)彩信病毒现象
在网络运行的过程中,我们收到了如下的用户投诉:“我的手机出现了1个奇怪的问题,它总是自动随机发送MMS消息给我电话薄中的联系人”。有的用户投诉“收到1个可疑彩信,由1个txt文件和1个可执行文件组成。txt文件为‘matrixremoveyou,removematrix’”。经过确认,这些用户的手机中了手机彩信病毒。根据病毒彩信样本,显示该病毒为“CommWarrior.A”病毒。具体病毒特征如图1所示。
图1“CommWarrior”病毒识别
当用户打开含有CommWarrior病毒的MMS消息后,该病毒将在手机中进行安装,并开始向手机号码薄中的用户随机发送含有自身拷贝的MMS消息。同时,CommWarrior会伪造彩信主题进行传播,通常包含着这样的内容“来自我的3D游戏!免费!”以及“适合所有型号诺基亚手机的铃声”等,使得接受彩信的用户不会引起警觉,具体各类的消息内容的比例如图2所示。
图2“CommWarrior”病毒消息内容
(2)“CommWarrior”病毒类型
通过GPRS核心网抓包分析,目前用户感染的彩信病毒类型主要是CommWarrior病毒,A,B,C分别是其的变种类型,具体感染的比例参见图3。
图3CommWarrior病毒的类型分析
(3)彩信病毒涉及的手机型号
采用SymbianOS6.0操作系统是感染彩信病毒的主要对象,具体的手机型号参见图4。
