彩信病毒分析和应对策略

电信工 彩信病毒分析和应对策略 江家兴 (中国移动通信集团福建有限公司福州分公司 福州 35000 1) 摘 要 针对出现CommWarrior和Cabir手机病毒，重点讨论了手机病毒特点和针对病毒特点采取应对策略，并 介绍了通过在WAP网关上实施对MO和MT病毒过滤的解决。 关键词 CommWarrior Cabir 手机病毒 WAP网关 病毒过滤 从2005年下半年开始，在智能手机用户群中大量 传播一种称为CommWarrior手机病毒，该病毒的出现 干扰正常计费 (根据目前的计费标准，一个小时可能产 生600元的话费)，影响用户的客户感知度，造成用户 大量投诉，同时该病毒还消耗手机电池，造成能源浪费。 该病毒的出现对移动通信网络提出前所未有的挑 战，它不仅影响移动通信公司的声誉和客户感知度；同 时对移动通信网络也是个巨大威胁，该病毒消耗网络资 源，造成网络质量下降，并已对日常运行维护造成一定 影响。初步分析该病毒以MMS为载体进行传播，它在 被感染的手机上复制数份拷贝，通过手机中的号码簿利 用MMS方式将拷贝发送给机主的联系人。 该病毒的出现，说明随手机终端智能化，手机病毒 离我们越来越近。对电信运营商而言，如何实施必要的 安全措施，防范今后可能出现的更多更新的手机病毒是 目前急迫需要考虑的问题。 1 手机病毒种类分析 根据相关安全厂家资料，目前有记载的手机病毒主 要有如下几种。 (1)Cabir手机病毒：通过蓝牙进行传播，阻塞正 常的蓝牙连接，消耗手机电池。该病毒有一种叫Mabir．A 的变种，也是通过蓝牙和MMS传播； (2)CommWarrior手机病毒：通过MMS传播，会 在被感染的手机上复制数份拷贝，通过手机中的号码 簿，利用MMS或蓝牙方式将拷贝发送给机主的联系人。 在相关报道中，还发现部分病毒是未经证实的，但 其反应的现象需要引起我们的高度重视。 (1)有消费者按照一网站发送的短信提示下载铃声 时，手机键盘突然被锁，拆下电池重新开机后，通讯录 和短信箱里的内容全部消失了； (2)手机用户上网下载铃声和图片，有一天突然发 现手机无法正常接听，而且经常死机； (3)消费者收到一条关于点歌的短信息后手机瘫 痪； (4)有一种被称为 “移动黑客”的手机病毒隐藏在 祝福的短信中，用户只要一查看中毒手机中的短信息， 手机就会 自动关闭。 虽然上述问题未经证实，无法说明其一定感染病 江家兴：现在中国移动集团福建有限公司福州分公司网络部任副经理，主要从事网络综合维护管理工作，包括交 换、传输、无线、网络等维护管理工作。 ． 61— 维普资讯 http://www.cqvip.com 2006．11 电信工 毒，但这些非正常 “症状”正是我们运营商所担忧的， 上述现象的出现明手机运行了非法程序，也说明手机 系统存在漏洞，可为别有用心的人利用。 要找到解决手机病毒问题的解决方法，需要认识手 机病毒的特征。在发现CommWarrior病毒传播后，我 们及时实施了对现网进行全程监测，在监控中发现了一 些有用数据。下面，结合收集到的监测数据，对手机病 毒的特征进行分析，通过特征分析，希望能够找到解决 问题的方法。 2 手机病毒特征分析 在GPRS核心网络和WAP网关进行7×24h抓包 分析，根据近 1月捕获的数据分析，发现：手机用户感 染的手机病毒主要是 CommWarrior手机病毒，而且 CommWarrior手机病毒有A，B，C变种类型，其中变 种A占77％，B占15％和C占8％。 我们还对 CommWarrior手机病毒的内容进行分 析，发现该病毒的subject有一定规律，CommWarrior 手机病毒会伪造有趣的subject(这些subject不是用户 手工输入的，而是由病毒软件自动生成的)，使接收彩 信的用户引起对彩信的关注，但不会引起警觉，原因是 subject的内容是一些容易引起人们关注的东西，如 Norton AntiVirus(病毒问题)、3DGame(游戏)等。 在1个月的监测，发现的该病毒subject的特征内容共有 ． ．62．． ％ 24．8％ 23．7％ ． 7％ l9个，subject分布如图l所示。 由于手机病毒的subject具备特征，可以考虑在彩 信中心上，对彩信的subject信息进行过滤，实现对问 题彩信的拦截，避免该类手机病毒的传播。 3 发送情况分析 通过分析发送情况，可以了解手机病毒的传播能 力，发送情况指标包括发送成功率、MO和MT的比例 等。 表1 CommWarrior手机病毒发送成功率分析 病毒名称 成功率 CommW arrior．A 0．765734 CommW arrior．B 0．888889 CommW arrior．C 0．928571 小计 0．796196 在监控中，发现CommWarrior手机病毒发送成功 率为80"／0，如此高的成功率，说明其具有较大的危害性。 在对发送不成功原因的分析中，发现主要原因是发送号 码有问题，如发送到其他运营商的号码，如联通、小灵 通和固话号码。CommWarrior手机病毒各变种发送成 功率分析如表 l所示。 在对手机病毒流量的分析中发现，MO(用户发送) 发送占了87．84％，用户MT成功接收占了l2．16％。可 见，需要在MO和MT两个流程对手机病毒进行过滤， 才能有效遏制手机病毒的交叉感染。 图1 CommWarrior手机病毒subject分布图 维普资讯 http://www.cqvip.com 电信工 4 被感染病毒的手机分析 分析被感染病毒的手机主要是为了发现易被病毒入 侵的手机型号，有针对性的实施保护工作。监测数据分 析发现，采用 Symbian 0S6．0 Nokia手机是感染彩 信病毒的主要设备，说明Symbian OS6．0存在安全问 题，容易被黑客利用。本次监测虽然没有发现Windows Mobile手机感染病毒的问题，但并不代表没有，因为 Windows操作系统比较流行，在PC平台上病毒较多。 本次监测发现的感染彩信病毒的手机型号分布如图2所 示。 通过对手机病毒的特征、发送情 况和感染手机情况的分析，对手机病 毒的处理提供实施依据。对手机病毒 20．6％ 的处理策略，我们基于的考虑是针对 22．7％ 手机病毒的特征，可以通过对手机病 2／．8％ 毒内容特征进行过滤解决，可以在彩 信系统上实施，需要彩信系统厂家对 32．10％ 系统进行改造，也可以考虑在WAP系 统上部署特征内容过滤设备，实施特 征内容过滤；由于MO和MT流程上 都存在感染病毒的途径，需要考虑在 彩信中心，病毒过滤服务器对彩信内容进行处理，如存 在病毒则对彩信内容进行杀毒处理后转发到彩信中心， 没有病毒则直接转发到彩信中心，完成彩信的发送流 程。 为避免感染病毒的用户不断向外发送病毒彩信，在 病毒过滤服务器对用户病毒彩信发送情况进行统计，并 设置触发机制，发现用户发送的手机病毒超过一定的门 限，病毒过滤服务器立即触发一条告警短信，通知用户 其手机感染彩信病毒，建议其进行处理，并附带上病毒 处理方法，方便用户对病毒的处理。 这两个流程上都实施病毒过滤 针对不同病毒感染终端 的不同，可以在过滤服务器上建议终端和病毒的管理关 系， 特定病毒只对特定终端实施过滤，提高过滤的效 率。 下面，对MO和MT两个方向上如何实施病毒过滤 和拦截进行说明。 首先，MO流程上的病毒过滤和拦截流程。MO病 毒过滤和拦截流程如图3所示。 如图3所示，原来彩信MO的流程为1—4，用户 手机发送彩信，通过wAP网关将彩信直接发送到彩信 服务器。在部署了病毒过滤服务器后，流程4被流程2 和3所替代，用户彩信的发送流程变成了1—2—3，用 户手机发送彩信，彩信数据通过WAP网关，WAP网 关将发送的彩信转发到病毒过滤服务器，而不是原先的 Nokia6681／2．0 · Nokia7610／2．0 76．23％ }口 Nokia3230／2．0 口 NokiaN—GageQD／1 0 Sy · Nokia6670／2．0 a Nokia6600／1，0 _ Nokia6680／1．0 0 NokiaN70—1／5．0609．2 · NokiaN70—3．0544．5．1 图2 感染病毒的手机终端情况 WAP网关 图3 MO彩信病毒过滤和拦截流程 彩信服务器 其次，对MT彩信接收流程上进行过滤和拦截，MT 产生手机病毒的原因是SP或其他彩信应用直接和彩信 中心相连，发送的彩信不经过WAP网关，病毒过滤服 务器无法对其进行过滤处理。在对手机病毒现状的分析 中，发现部分用户在下载SP的业务后 (图片、彩铃等)， ． ．63．． 维普资讯 http://www.cqvip.com 2006．11 电信工 有出现异常的情况，如果不对MT彩信接收流程进行过 滤，这条途径可能被不法分子利用，达到其非法目的。 MT彩信下发过滤和拦截流程如图4所示。 WAP网关 图4 MT彩信过滤和拦截流程 服务器 如图4所示，原来彩信MT的下发流程为1—2— 3—4，彩信中心发送一个WAP PUSH SMS通知用 户获取彩信，手机收到的WAP PUSH SMS(其内 容包括获取彩信的在彩信服务器中的地址信息)后， 手机会自动发起请求，通过彩信网关获取彩信，相关 地址信息在WAP PUSH SMS。部署病毒过滤服务 器后，原来的流程4发生了变化，由原来彩信中心直 接通过 WAP网关向用户下发彩信变成彩信中心先将 彩信发送到病毒过滤服务器，病毒过滤服务器对其进 行处理后，通过 WAP网关下发到用户手机中。在部 署了病毒过滤服务器后，彩信的发送流程变成了 1— 2— 3— 5— 6。 通过在WAP网关系统部署病毒过滤服务器，在彩 ．．64．． Abstract Keywords 信的MO和MT流程上对病毒进行过滤和处理，实现对 已知病毒的有效遏制。但病毒过滤服务器需要专业的防 病毒厂家进行维护，定期更新病毒代码。部署了病毒过 滤服务器，会产生彩信的发送和接收时延，需要测试时 延大小，避免对用户感知度造成影响。 是否可以在GGSN、WAP网关或彩信服务器上直 接实施过滤，达到病毒防范的目的。回答是肯定的，但 直接在上述设备实施病毒过滤，需要重新设计系统硬件 平台的处理能力，还有对病毒的过滤，需要设备厂家对 手机病毒有专业的理解，这是很多设备厂家不具备的。 因此建议将病毒过滤设置在厂家以外的设备上实施，这 种实施方案还有利于垃圾彩信的处理，可以在病毒过滤 服务器实施策略，对特别号码、彩信内容实施过滤，达 到垃圾彩信防范的目的。 通过部署病毒过滤服务器是遏制手机病毒的一个有 效手段，但除了采取该措施外，还可以通过对易感染病 毒的手机安装防病毒软件，实现对手机的保护。针对目 前出现的手机病毒 ，目前较成熟的防病毒软件有 NetQin手机杀毒系统、卡巴斯基手机杀毒、光华反病 毒手机杀毒软件Symbian$60、TSG—Phone—Safe一杀 手机病毒软件、Anti—Virus．v1．10、Simworks— AnitiVirus一1．16等。 随着高端智能手机逐步成为主流产品，如果不及时 着手解决和控制手机病毒，手机病毒问题将直接对新的 投诉热点，影响业务增长。解决手机病毒，需要各方面 共同努力，手机病毒的特征分析和对策研究，将为3G 网络维护和业务发展提供借鉴。 Analysis of the Virus of M M S and Its Possible Solutions Jiang Jiaxing (China Mobile Group Fujian Co、，Ltd、Fuzhou Branch，Fuzhou 350001) This thesis focuses on the characteristics and solutions of MMS virus named“CommWarrior’’and‘‘Cabir” The possible solution of filtering the virus，which broadcasting via MO and MT of MMS on WAP gate· way，was covered as well、 CommWarrior,Cabir,the virus of MMS，WAP gateway，virus filter 维普资讯 http://www.cqvip.com