病毒不是电脑的专利 常见手机病毒解析

安全 嘲啡 计 算 机 与 网 络 创 新 生 活 露 蕊翮 病毒不是电脑的专利 常见手机病毒解析 俗话说，知己知彼，百战不殆，对付 入侵。 经济损失、网络服务拥堵。 纸。本文将对手机病毒做较全面的介 也是程序的一种 ， 通常使用Jav 、c++等 垃圾信息，或者反复拨打某一电话号 绍 ，并通过一些案例分析使我们掌握手 语言进行编写 ， 作为软件首先它有可能 码 ，造成一定程度上的网络拥堵，更有 发生任何变化，那就仍然正常使用吧。 所支持的各种功能扩展软件等等都是 手机病毒发展历史 月底去缴手机费的时候却发现自己出 手机应用的一个重要方面 。 而这些信息 由于早期的手机系统并不开放 ．所 事?其实这时你的手机已经中毒了，手 运行 ，然后显示给手机用户。而病毒则 为目的的。实际上世界上最早出现的病 域的东西，而随着手机的功能越来越电 破坏用户信息安全 2000年6月，手机公司M。bistar收 脑化 ，病毒也并非只是电脑的专利了。 用户的手机上通常都会保存各种 到数量 巨大 的由计算机发 出的名为 当然 ，手机病毒还没有厉害和数量庞大 私人信息 ． 诸如联系人电话、日程安排、 “Tim。fonica”的垃圾短信。该病毒 向系 到让手机像电脑一样不装防火墙和杀 甚至于银行密码等等 ． 这些重要信息难 统内的手机用户发送 内容为脏话等的 毒软件就几乎寸步难行的地步，但正因 免不会受到手机病毒制造者的垂涎 ， 通 垃圾短信。Ig-~~，该病毒对手机本身 为如此，造成了人们对手机病毒的漠 过编写各种病毒 ， 将手机中的这些重要 并没有任何破坏作用 ，充其量只能是短 视，不知道如何防毒、杀毒，往往造尊严 信息盗取出来，从而达到获利的目的。 信炸弹。 ? 和 ⋯ 件 的操 什么是手机病毒 层面 裹 嚣 同电脑病毒类似，手机病毒就是一 按键操作无效 ， 或者导致手机无法开 户只能使用厂商在手机系统中所提供 段恶 意的程 序代码 ，一种以破坏手机功 机 ， 更有甚者将会导致芯片损坏(硬件 的各种功能。 能、影响手机正常使用的程序。和电脑 破坏) ， 无法再次使用。这种直接给用户 这一阶段的手机病毒基本上是利 病毒类似，手机病毒也具有传染性和破 带来损失的病毒攻击行为也是 目前手 用手机本身系统所爆露出来的漏洞，针 坏性。并且由于手机平台的特殊性和手 机病毒中最为常见的 一 种形式。 对某一型号的手机进行攻击。病毒只有 暑 喜辜盂 通过手机传播非法信息 主 ，内母 。 豪； l 毒中毒后会 自动搜索手机 影响 。 病毒传播方式：手机病毒要传播和 联系人列，然后随机地将 自身所包含 而后 ．随着智能手机不断的普及与 运行，必要条件是移动服务商要提供数 的信息 ，比如各种非法图片、短片通过 发展 ，手机病毒也随之发展起来。第一 据传输功能 ，或者手机支持Java等高级 彩信发送出去。从而在传播病毒本身的 个出现在智能手机平台上的手机病毒 程序写入功能。现在许多具备上网及下 同时将有害信息传播出去。 名为 " Caribe",感染手机平台为 svm一 载等功能的手机都可能会被手机病毒 强制发送垃圾数据，造成用户个人 b i nS60。其表现就是中毒的手机会自动 责任编辑：姚翌／2007年第22期 《计算机与网络 》 维普资讯 http://www.cqvip.com 安全咖啡屋 } I舅i珊RI捌硒 i|．In疆口 蕊积lf．1l疆 1T 辫 L ·：哥 网 三a ’刚 雨rr E 7百 打开蓝牙功能。不断搜寻用户附近的蓝 现 Caribe的程序图标，手机蓝牙也会自 件箱，当中毒手机接收到彩信之后，木 牙设备 ，一旦搜索到就会自动将病毒本 动打开，并向能够搜索到的任何蓝牙设 马会自动将其删除 ，使用户无法正常使 身发送给对方．不过该病毒最初的版本 备上发送带毒的sis文件。 用彩信功能。 并不会对手机内部的信息进行任何修 危害：由于感染后手机持续不间断 防范：因为此类病毒通常是通 改。该病毒于当年年底在我国发现。 的搜寻蓝牙设备，使得电池被迅速消耗 过带毒软件进行传播 ，所以用户轻易不 而第一款真正意义上的手机病毒 殆尽。 要安装用途不明的应用程序。在使用手 的名为 “Lasco”，该病毒可以自动感染 防范方法：首先如果没有必要请不 机登录WAP网站下载软件 、游戏的时 Symbian系统的通用安装文件 。即 SIS 要打开诸如蓝牙、wifi等手机短程数据 候尽量去一些大型的下载站点。如果是 文件。它会自动将自身嵌入到 SIS文件 传输功能，或者在设置中将本机的蓝牙 在 PC上下载软件、游戏 ，尽量在传输到 中，然后伺机传播出去。 等设定为隐藏状态(其他用户无法搜索 手机之前使用PC端的杀毒软件事先查 手机病毒发展到现在，将攻击对象 到 )。另外不要轻易接收陌生人通过 一下病毒 ，目前电脑端的杀毒软件也能 定位为非智能手机的比较少见，主要攻 w卜Fi或者蓝牙发送过来的文件，因为 查出部分出现时间较早的手机病毒。 击 目标为各种智能手机或者可扩展平 这很有可能是病毒自动发送的。 清理方法：安装手机版杀毒软件查 台，比如塞班系列平台、WindowsMoble 清理方法：安装手机版杀毒软件查 杀或者手动删除以下文件： 系列平台、Plato系列平台、甚至于 KIava 杀或者手动删除以下文件： C：＼System＼Apps＼installkEuninstal1． 平台。这其中又因为塞班系统是智能手 c：＼system＼apps＼caribe＼caribe．r$c exe 机的主流操作系统，所以病毒感染的数 c：＼system＼apps＼caribe＼caribe．app C：＼System＼RECOGS＼AppToolkit． 量最多(占病毒总数量中的绝大部分)。 c：＼system＼apps＼caribe＼flo．mdl mdl 从 2000年发现第一例手机病毒到 c：＼system＼recogs＼floandl E：＼system＼RECOGS＼R．ecMem一 今天，手机病毒的数量已经发展到一百 c：＼system＼symbiansecureda- Card．mdl 余种．不过危害巨大、比较流行的手机 ta＼caribesecuritymanager＼caribe．app c：＼System＼data＼wapstore＼set- 病毒不是很多。所谓防患于未然。防治 c：＼system＼symbiansecureda- tings＼Ewapstore．exe 手机病毒最好的办法是从源头上掐断 ta＼caribesecuritymanager＼caribe．r$c 发送／接收带毒短信／彩信：利用手 它，不让手机病毒有感染手机的机会， 下载安装软件：某些病毒会伪装成 机固有漏洞，通过发送包含特定信息 从感染方法上来分类这些病毒。有利于 最新的游戏或者某个软件的破解版来 的短信、彩信等方式传播病毒。 我们的手机防护。 引用用户安装 ，安装之后即已经被病毒 特点 ：当特定系统、特定型号的手 这类病毒通过手机所支持的蓝牙、 感染。 机接收到这种带毒短信／彩信之后 ，打 Wi—Fi等短距离无线传输网络传播。该 特点：通常大部分经过此种途径传 开阅读即中毒。该类病毒通常会自动搜 传播方法不需要经过移动运营网络 。仅 播的病毒自身不会在手机端复制传染。 索中毒手机的联系人信息，然后随机将 通过手机到手机即可短距离传播。 该类病毒的特点就是伪装成正常安全 自己转发出去，造成更多手机中毒。 特点：该类病毒通常只是破坏单 的文件，诱骗用户与运行，另外通常此 案例：“Mobile．SMSDOS” 个手机的使用功能，对于整体通讯网络 类病毒的“可活动范围”都比较大，从不 该病毒出现时间较早 ，并且只存在 的危害比较低。而其传播缺点是需要两 能让你正常打电话到将系统完全整瘫 于西门子手机中 ，目前明基西门子手机 个手机有过段距离接触(比如经过蓝牙 痪均有可能。 还没有被感染的 。 需要要求相隔十米左右)才有被传染的 案例：“LianFeng”I商毒 感染特征：无法正常工作、按键无 。J能。 此病毒为木马程序。感染手机系统 反应、手机无法开机等。 案例：“Cabir”I商毒 为SymbianS60。 危害：该病毒利用西门子手机某些 该病毒为蠕虫病毒 ，是目前危害 感染特征：无明显特征 ，无法正常 型号中的 BUG，破坏系统程序，造成手 最大、最常见的病毒 ，主要感染 Sym- 收发彩信。 机内部软件错误。不过其针对性很强， bian系列智能手机系统(诺基亚用户注 危害：用户在安装被该程序感染的 只对特定多款手机型号有效。 意了)。 软件之后。即会释放该病毒木马。木马 防范方法：此类病毒有一个重要的 感染特征：手机中毒后桌面上会出 会 自动隐藏到后台。持续监听用户的收 共同点。就是需要阅读所收到的短信或 ＼ 《计算机与厨络 》2007年第22期／责任编辑：姚翌 维普资讯 http://www.cqvip.com 计 算 机 与 网 络 创 新 生 活 安全 咖啡 者彩信，才会激活病毒。如果用户收到 陌生人发送过来的内容奇怪的短信 ，通 常就要特别注意了。或者是熟人发送的 内容不正常的短信也要小心。如果不幸 中了病毒则可通过尝试删除带毒短信 来清理。 清除方法：中毒后 立刻 关闭手 机 ， 如关机无效则直接拔电池。将SIM 卡 换到别品牌手 机上 ，删除病 毒短信 即可。 总结：实际上，手机病毒 的传播途 径并不是单线的，很多病毒同时拥有 多种传播途径 ，比如著名的“Lasco”， 它可以感染 后缀名 为 SIS的文件 ，用 户 通过 下 载 安装 带毒 软 件 从 而 中毒 ， 中毒之后该软件还能通过蓝牙等方式 将自己传播出去。所以对于手机病毒 的预防也是要全方位多层次的。除了 以上所简单介绍的这些手机病毒防御 方法(删除不正常短信彩信、保证下载 安全性、不接受陌生连接请求 )，在使 用手 机 浏览 WAP站 点 的 时候 也尽 量 不要去 一些 非法 网站 ，将 中毒 的可能 降到最低。 MSN防范手记 手动清除chcp．exe病毒 MSN早 已成为木马病毒通 向第三 方计算机感染跳越的平台。在好友圈 中．只要盗取一个 MSN好 友账号或感 染一台用户计算机，病毒即会伸出罪恶 之手。将会在用户 MSN聊天时发送病 毒信息。 病毒分析 该病毒属于 MSN蠕虫变种，被感 染的计算机会自动向 MSN联系人发送 诱惑文字消息和带毒压缩包，当对方接 收并打开带毒压缩包中的病毒文件时， 系统即成为新的受害者，并因此尝试感 染另一 台计 算机 。病毒 大小 为 434，176 字节，通过MSN聊天工具进行传播。 被感染的计算机 ．病毒首先会在系 统 目录 ％Windows％下生成含带病毒源 体的F0538 jpg．zip压缩包 ，随后病毒自 身开始在计算机中的％Windows％目录 下创建副本 chcp．exe执行文件 ，并在注 册表 HKEY—LOCAI MACHINE＼ S0FTW ARE＼Microsoft＼W indows＼Cur- rentVersion＼Run 分支下建立 “chcp．exe”=“％Win- dows％＼chcp．exe”自启动项目，然后病毒 开始修改注册分支 HKEY _ LOCAI M ACHINE＼ S0FTW ARE＼Micr0so W indows NT＼ CurrentVersion＼Winlogon下 的“SFCDis— able” =dword：∞ d 和 “SFCScan”= dword：00000000值，进行关闭系统文件 保护 ，并且更改 HKEY_LOCAL_MA— CHINE＼SYSTEM tCurrentCon- trolSet＼Contro1 分支下的‘'WaitToKiUService Time— out"=的值为“7000”，达到更改自动关闭 进程等待时间的效果。 完成上述后，病毒仍没有安静地等 待，而是查找被感染的计算机中是否存 在 FTP目录，如果有则将原正常程序改 名为 backup．ftp、backup．t卸 并复制到％ System％＼microsoft目录下 ．随后在 系统 目录％System％下 写入 ．exe、t邱．exe、 dUcache＼tftp．exe、dllcachekftp．exe可 执行 程序，做完一系列的手脚 ，病毒开始向 MSN联系人发送诱惑型文字消息 ，并 夹带毒包 F0538 jpg．zip欺骗用户打开。 清除方法 中了此毒的用户也不要紧张 ，在了 解了生存原理后要想清除该病毒也非 难事 ，只要按照以下几个步骤实施即可 将病毒清除出界，让系统中的 MSN正 常运行。 一 、首先要进入注册表分支 HKEY _ LO CAI M ACHINE＼ SOFTW ARE＼Microsoft＼W indows＼CDr- rentVersion＼Run下 ，将 “chcp．exe” ％ Windows％＼chcp．exe”自建的随机启动 项删除．完成后重启计算机。 二、进入％Windows％＼目录下将病 毒源 体文件 chcp．exe及 F0538．jpg．zip 压缩包删除。 三 、将 目录％System％下的 FTP破坏 代 替 程 序 ftp．exe、t邱．exe、dUcache＼tftp． exe、dllcache＼~p．exe删除 ，并将 ％Sys— tem％＼microsoft目 录 下 的 backup、ftp、 backup．tftp改回到目录％System％T。 四、删除注册表分支[HKEY_LO— CAI MAC：HINE＼SOFTW ARE＼M i— crosoft＼ W铀dOWN NT＼CurrentVersion＼ Winlogon]下 的 “SFCDisable”=dword： 00000000键值。恢复系统文件保护。 五 、最 后 将 注册 表 『HKE 上0一 CAI M ACHINE＼SYSTEM ＼Current— ControlSet＼Contro1]分 支 下 的 ”wait— ToKiUServiceTimeout”=改为 ”20000”从 而 恢复 系统 自动 关闭 进程 等待 时间 的 默认配置 。 在 MSN病毒中变体有很多种如 ： MSN 机 器 人 、MSN 小 丑 、MSN 性 感 相册 等，其原理都是利用 MSN作为 平台在同聊友沟通的同时发送病毒信 息 ．通过 MSN好友关系欺骗用户点 击 ，然后再次传播 ，从而形成强大的传 播途径。为了更好地处理此类病毒 ，这 里建议用户加强计 算机 的先 期保护 如 ：开启杀软定时升库，安装安全类软 件 ，不定期打入系统补丁等 ，并且多了 解每 日病毒动 态，即时作好防范工作 即可 ，一但用户被感染时应立即作出 回应 ，利用手工删除或下载相应的专 杀工具进行清理 ，以免让更多的用户 成为受害者。 责任编辑：姚翌／2007年第22期 《计算机与网络 》 维普资讯 http://www.cqvip.com