第1页:病毒评测序言,病毒的防范与小结
序言
在智能手机领域占有率最高的Symbian系统成为最普遍的系统之一,以当前诺基亚和索尼爱立信等大厂对Symbian的支持以及近年来Symbian的技术演变,Symbian上的病毒也相应出现,也许Symbian操作系统很可能会在未来的PDA领域也获得不小的影响,相信Symbian这样普及的操作系统上的病毒会越演越烈,所以自身做好防范意识是很重要的事情。
早在2000年左右就出现了通过wap网络散播的手机病毒,但这类病毒一般只造成恶意信息的传送,并不是移动电话与移动电话之前传播感染开来,由于当时的传统手机很难运行相对复杂的病毒代码,故真正的手机病毒才在现在这个智能手机日渐普及的今天才能得以见天日。
最早的病毒是名为Cabir,这个病毒早在2004年中就被发现,时至今日已经发展到十几个变种,最早版本是Cabir.a,这是一种通过手机的蓝牙连接进行传播感染的蠕虫病毒,其副本将被安装在/system/apps/caribe/目录下,感染此病毒后手机会自动发现蓝牙连接并尝试传播,Symbian手机与手机的蓝牙传送是以蓝牙短信形式保存在手机的收件箱,点击后会出现一系列提示框,当然不选择安装则不会被感染,这只是最早期的病毒,换个角度也就是说这个病毒不具有恶意。当然现在的Cabir系列病毒已经具备潜伏在手机系统中并等待机会通过存储卡,数据线缆等数据交换的形式感染其他智能手机。
现在出现了一种名为CommWarrior的以蓝牙传播的病毒,又分Commwarrior.A是与Commwarrior.B,而Commwarrior.B是与Commwarrior.A关系很近的变种,它是作用于Symbian S60系列手机的蠕虫,能够通过蓝牙和MMS消息传播病毒,这样可能会让使用者浪费不少手机话费,此外这个病毒还可以在传播中随机自身进行重新命名,这 无疑的意味着更具隐蔽性的病毒出现了.
源自叙利亚的Skulls病毒从2004年发现至今已经演变超过20多个,它也是最早出现的对手机功能早成影响的病毒之一,它会伪装成手机的应用程序,只要被安装成功就会将手机的应用程序图标替换为骷髅图标,而Skulls病毒已经不再象Cabir病毒那样只感染特定型号的机型,他会使所有Symbian系统的手机都有可能会受到感染。
这些只是Symbian系统上流行病毒的一部分,还有不少具备破坏力的病毒未在这里进行详细叙说,在智能设备越来越普及的今天和未来,而Symbian系统的普及性自然成为病毒第一破坏对象,随着智能手机与pda等手持智能设备不断的融合,在未来,智能手机有可能成为PC后的另一个巨大的病毒传播平台。
防范
最先做到防范意识,那样你的手机不被病毒感染的机率就会很低的。首先不要抱有轻视病毒的意识,比如觉得自己的机器不会被病毒感染等,存在这样的侥幸心理个人觉得不太妥当,凡事不怕万一就怕一万,所以最先加强防范意识是很重要的。
现在手机的数据交换为数据线,存储卡,红外线,蓝牙,还有 wi-fi等,存储卡,数据线属于非无线传输,所以主要注意是需要交换的数据来源的可信度,而红外也需要近距离的才可以进行数据交换,而病毒的传播方式可以包含在数据下载源处。所以数据尽量在可信度高的网站上获得,或者从可靠的地方获得。当然最好事先在手机上安装好病毒防范软件。
在对于蓝牙,wi-fi等这样较远距离的无线传输时,对于一切不知名或者不熟悉的的无线数据交换的时候可完全的拒绝接受,对于相关连接密码也可以设置为复杂点的类型。
在手机直接登陆互相网来下载资源的情况,也是需要在可靠的站点去下载需要的资源,不要轻易的去下载非可靠性站点的吹得天花乱坠的资源,这样的资源就有可能包含病毒源。
备份和密码
手机的蓝牙设备等密码设置均可以设置为字母加数字混合,密码设置不要过于简单,字母或数字的密码不应该为连续或者重复的,比如adceefg或者1234567,1111111等这样很容易让人猜测到的密码。
关于手机机身的资料备份,如联系人名单,手机各种设置等,机身相关数据的备份就是对非病毒防范都是非常重要的一件事情,更何况是在面对具有破坏里的病毒防范了。定期将机身数据备份到存储卡上,Symbian的机型都自带支持将C盘资料备份到存储卡上,进入存储卡选项即可找到相关,当然也可以利用第三方软件进行备份工作。
网络连接/数据同步
对于来历不明的MMS或者不清楚的需要连接网络的信息不要随意选择接入网络,病毒有可能通过这样的形式在让你点击后就会自动连接网络而散播病毒。
不要随意与非安全的机器进行数据同步,也不要与不受信任的机器进行数据交换,如文件传输,名片交换等。
小结
良好的机器使用习惯,这样在防范病毒的时候是很有帮助的环节,所以尽可能的提高自身安全性能是最基本的需要大家自己去做到的。对于一切不明信息要提高警惕。
病毒的主要危害症状:
不断的自行通过无线方式传播病毒,自行发送MMS造成话费流失,直接造成手机运行速度大大降低,替换手机程序图标造成手机相关功能无法使用等。
第2页:参与评测病毒:Cabir.H/Skulls.E/Skulls.H详细介绍
本次评测4例病毒体详细分析
第一例:【 Cabir.H 】
别名:SymbOS/Cabir.H, EPOC/Cabir.H, Worm.Symbian.Cabir.H, Caribe virus
概述:
Cabir.H 是一个使用蓝牙的蠕虫,运行于支持60系列平台的Symbian 手机。
Cabir.H 变种是原始Cabir的重编译版本,主要区别是Cabir.H有确定的复制规则,可以比之前的变种传播得更快。
Cabir.H通过蓝牙连接复制,作为包含蠕虫的velasco.sis文件到达手机收信箱。当用户点击velasco.sis并选择安装时,蠕虫激活并开始通过蓝牙寻找新的手机以感染。
当Cabir蠕虫发现另一个蓝牙手机时,只要目标手机在范围内,它就开始向其发送velasco.sis文件的拷贝。与 Cabir 之前的变种不同,Cabir.H 在第一个目标离开范围后,能够发现新目标。因此Cabir.H一旦失去控制,极有可能比之前的变种传播得更快。
注意Cabir.H蠕虫只能到达支持蓝牙并处于可发现模式的手机。
把你的手机设定为不可发现(隐藏)蓝牙模式会保护你的手机不受 Cabir 蠕虫侵害。但是一旦手机被感染,即使用户试图从系统设定中关闭蓝牙功能,病毒仍将试图感染其他系统。
病毒详细描述:
复制
Cabir.H通过蓝牙复制velasco.sis文件,包含蠕虫主要可执行文件velasco.app,系统识别marcos.mdl和源文件velasco.rsc。SIS文件包括自启动设定,在SIS文件被安装后,将自动执velasco.app 。
velasco.sis 文件不会自动到达目标手机,所以当感染手机仍在范围内时,用户需要对传输问题回答是。
当 Cabir.H 蠕虫被激活,它将开始寻找其他的蓝牙手机,并开始向找到的第一个手机发送被感染的velasco.sis文件。在第一个目标手机离开范围后,Cabir.H会继续寻找并感染其他手机。
这个复制机制的修改使 Cabir.H 一旦失去控制,更可能快速传播。
感染
当velasco.sis文件安装时,安装者会将蠕虫可执行文件复制到以下位置:
c:\system\apps\velasco\velasco.rsc
c:\system\apps\velasco\velasco.app
c:\system\apps\velasco\flo.mdl
当velasco.app 执行时复制以下文件:
flo.mdl 到 c:\system\recogs
velasco.app 到 c:\system\symbiansecuredata\velasco\
velasco.rsc 到 c:\system\symbiansecuredata\velasco\
如果用户将应用程序安装到内存卡,避免用户试图通过卸载原始SIS文件杀掉蠕虫最可能发生。之后蠕虫会从蠕虫部分文件和velasco.app中的数据块重建velasco.sis文件。
重建 velasco.sis 文件后,蠕虫会开始寻找所有可见的蓝牙手机,并向其发送 SIS 文件。
第二例:【 Skulls.E 】
别名: SymbOS/Skulls.E 源自: 叙利亚
概述:
Skulls.E是Skulls SIS文件木马的一个新变种。它向手机释放稍有修改的Cabir.F,并使内置应用程序无法使用。
详细描述:
Skulls.E是一个SIS文件,替换与蓝牙控制相关的系统ROM二进制文件,向系统释放Cabir.F和其他应用程序,使第三方文件管理器无法使用。
传播
以 "ThNdRbRd !.sis" 形式
危害
用无法使用的版本替换内置和第三方应用程序,安装Cabir蠕虫。
第三例:【 Skulls.H 】
别名: SymbOS/Skulls.H
概述:
Skulls.H 是Skulls.D SIS 文件木马的另一個新变种, 它包含Cabir的几个蠕虫变形, 和几个Locknut.B木马拷贝。
传播
NokiaGuard.sis 和ScreenSaver.sis
危害
用non-functional来替换或者修改第三方应用, 安裝Cabir蠕虫, Locknut.B特洛伊人和开始显示闪动的骷髅头的动画
