手机病毒分析与防范精品.pptVIP

* * * 恶意代码生存环境 1. 系统相对封闭 移动终端操作系统是专用操作系统，不对普通用户开放（不像计算机操作系统，容易学习、调试和程序编写），而且它所使用的芯片等硬件也都是专用的，平时很难接触到。 2. 创作空间狭窄 移动终端设备中可以“写”的地方太少。例如，在初期的手机设备中，用户是不可以向手机里面写数据的，唯一可以保存数据的只有SIM卡。这么一点容量要想保存一个可以执行的程序非常困难，况且保存的数据还要绕过SIM卡的格式。 3. 数据格式单调 以初期的手机设备为例，这些设备接收的数据基本上都是文本格式数据。文本格式是计算机系统中最难附带病毒的文件格式。同理，在移动终端中，病毒也很难附加在文本内容上进行传播。 * * 移动终端恶意代码产生契机 1. 类JAVA程序的应用 类JAVA程序大量运用于移动终端设备，使得编写用于移动终端上的程序越来越容易，一个普通的Java程序员甚至都可以编写出能传播的恶意代码程序。 2. 操作系统相对稳定 基于Symbian、Pocket PC、Win CE和SmartPhone的操作系统的终端设备不断扩大，同时设备使用的芯片（如Intel的Strong ARM）等硬件也不断固定下来，使它们有了比较标准的操作系统。并且，这些操作系统厂商甚至芯片都对用户开放API，并且鼓励在其上做开发工作，这样在方便用户的同时，也方便了病毒编写者，破坏者只需查阅芯片厂商或者操作系统厂商提供的手册就可以编写出运行于移动终端上的恶意代码病毒。 * * 3. 容量不断扩大 移动终端设备的容量不断扩大，既增加了其功能，同时也使得病毒有了藏身之地。例如，新型的智能手机都有比较大的容量，甚至能外接CF卡。 4. 数据格式多媒体化 移动终端直接应用、传输的内容也复杂了很多，从以前只有文本发展到现在支持二进制格式文件，因此病毒就可以附加在这些文件中进行传播。 * * 移动终端设备的漏洞 1. PDU格式漏洞 2002年1月,荷兰安全公司ITSX的研究人员发现，诺基亚的一些流行型号的手机的操作系统由于没有对短信的PDU格式做例外处理，存在一个bug。黑客可以利用这个安全漏洞向手机发送一条160个字符以下长度的畸形电子文本短信息来使操作系统崩溃。该漏洞主要影响诺基亚3310、3330和6210型手机。 2. 特殊字符漏洞 由于手机使用范围逐渐扩大，中国安全人士对手机、无线网络的安全也产生了兴趣。2001年底，中国安全组织Xfocus的研究人员发现西门子 35系列手机在处理一些特殊字符时存在漏洞，将直接导致手机关机。 * * 3. Vcard漏洞 VCard格式是一种全球性的MIME标准，最早由Lotus和Netscape提出。该格式实现了通过电子邮件或者手机来交换名片。诺基亚的6610、6210、6310、8310等系列手机都支持Vcard，但是其6210手机被证实在处理Vcard上存在格式化字符串漏洞。攻击者如果发送包含格式字符串的Vcard恶意信息给手机设备，可导致SMS服务崩溃，使手机被锁或重启动。 4. Siemens的“%String”漏洞 2003年3月，西门子35和45系列手机在处理短信时遇到问题。当接受到“%String”形式的短信时，如“%English”西门子手机系统以为是要更操作改系统语言为英文，从而导致在查看该类短信时死机,利用这一点很容易使西门子这类手机遭受拒绝服务攻击。 * * 移动终端恶意代码实例 1. “EPOC”病毒 病毒共有6种： “EPOC＿ALARM”，发作时持续发出警告声音。 “EPOC＿BANDINFO.A”，发作时将用户信息变更为“Somefoolownthis”。 “EPOC＿FAKE.A”，发作时在手机的屏幕上显示格式化内置硬盘画面，但不执行格式化操作。 “EPOC＿GHOST.A”，发作时在画面上显示“Everyonehatesyou”的话。 * * “EPOC＿LIGHTS.A”，发作时使背景灯BackLight持续闪烁。 “EPOC＿ALONE.A”，发作时使键盘操作失效等。 这6种病毒中前5种的危害并不很大，并且还有种恶作剧的味道，但第六种“EPOC＿ALONE.A”却是一种恶性病毒。当计算机执行有毒的程序时，会显示红外线通信接收文件时所显示的画面，并在此时将病毒悄悄地藏入内存之中。当病毒在内存中安营扎寨之后，会在计算机画面上显示“Warning－Virus”的信息，此后手机便不接受任何键盘操作。在发现以后，可以输入“leavemealone”来解除病毒常驻。 * * 2.VBS.Timofonica 移动终端恶意代码的初次登场是在2000年6月，它就是著名的VBS.Timofonica。这是第一个攻击手机的病毒。该病毒通过西班牙的运营商Telefoni