计算机病4.4节.pptVIP

4.4网络移动设备病毒 随着移动通信技术的发展，手机等移动设备无线接入网络的能力也越来越强，以移动设备为目标的移动病毒进入了快速增长阶段。特别是3G时代的来临，手机、PDA和各种移动接入设备的普及，越来越多的信息交换正从PC机转移到手机类的网络终端上，而在其上运行和传播的病毒也越来越来多样和泛滥。 本章首先讨论了手机病毒的传播途径、分类、攻击方式、然后重点分析了五种手机病毒的传染机制: Symbian 平台的Lasco.A蠕虫病毒、WindowsCE平台的Backdoor.Wince.Brador.a、Palm 平台的Phage以及在服务器端运行的VBS.Timofonica 和Hack.sms_flood病毒，最后对比了手机病毒过去与现在的发展状况，并简单展望了未来的发展。 4.4.1网络移动设备病毒简介 无线网络设备病毒从根本上讲也是一种计算机病毒，因为能存储病毒的无线网络设备除硬件设备外，还有上层软件建筑，这些软件一般是由JAVA、C语言、C++等语言开发出来的，是嵌入式操作系统(即把操作系统固化在了芯片中)，这就相当于一部小型电脑，也因为此，无线网络设备肯定会有受到恶意代码的攻击，也就是病毒攻击。 目前，学术界还没有给无线网络设备病毒一种统一的定义，但可以简单的说：无线网络设备病毒是可以通过各种无线通信信道在智能终端之间，服务端之间，服务端与智能终端之间复制传输自身代码的一组数据代码，传播时会对服务端和终端造成破坏，比如影响设备的正常使用或泄漏使用者的敏感数据等。 现实中应用的无线网络设备很多，包括移动电话、无线路由器、个人数字助理(PDA)、GPS定位器、智能家电等，其中数量最多，对人们生活影响最大、病毒传播最为广泛的，当属移动手机，2008年9月25日国际电信联盟宣布，全球手机用户将在今年底达到40亿。而且无线网络设备病毒与手机病毒在很多方面存在共性。 4.4.2 手机病毒传播途径和分类 第一类是蓝牙为主要感染扩散途径的手机病毒，以食人鱼病毒(SymbOS. Cabir)为代表。食人鱼病毒（SymbOS.Cabir）是手机病毒始祖，至今已出现20余只变种，并在美国加州地区传出店内手机交叉感染的案例。 第二类是附着在网络服务商网站的铃声、图片或小程序上的病毒，用户通过GPRS、WAP等无线网络，从这些网站下载了附有病毒的铃声、图片或小程序等而被感染。这种病毒以骷髅头病毒 (SymbOS.Skulls)为代表。它会在使用者下载图片铃声的屏幕管理中进入手机，将手机屏幕上的应用图像都改成骷髅头的图片，接着让手机无法收发短信，无法读取电话簿或者日程表，中毒后的手机唯一能做的就只有接打电话。 第三类是通过流行的MMS彩信进行散播的病毒，此类以武士病毒 (SymbOS. Commwarrior)为代表。它发出的信息包括告知手机用户下载防毒软件、手机桌面管理软件、3D游戏软件和色情图片等。 4.4.3 手机病毒攻击方式 1. 攻击提供手机辅助服务的互联网网站，更改其服务项目 2. 攻击WAP服务器使WAP手机无法接收正常信息,手机将无法接收到正常的网络信息 3. 攻击和控制“网关”，向手机发送垃圾信息 4. 直接攻击手机本身，使手机无法提供服务 5. 利用手机的蓝牙、红外传输等功能，在手机与手机之间或手机与其他带蓝牙、红外等智能设备间进行传播攻击，实现发送邮件、窃取信息、破坏设备性能等 4.4.4 几种典型的手机病毒 1. Lasco.A蠕虫病毒（Symbian 平台） （1）当velasco.sis文件安装时，安装者会将蠕虫可执行文件复制到以下位置： c:\system\apps\velasco\velasco.rsc c:\system\apps\velasco\velasco.app c:\system\apps\velasco\flo.mdl （2）当velasco.app执行时复制以下文件： flo.mdl 到 c:\system\recogs velasco.app 到 c:\system\symbiansecuredata\velasco\ velasco.rsc 到 c:\system\symbiansecuredata\velasco\ 4.4.4 几种典型的手机病毒 2. Backdoor.Wince.Brador.a（WindowsCE平台） (1).把其自身复制到Windows/StartUp/Svchost.exe(5632字节)，以便于当indows启动时，它也跟着启动。 (2).连续试图通过电子邮件向攻击者发送移动设备的IP地址，直到它成功。 (3).打开TCP端口2989，并等待攻击者的进一步指示。 (4).等待的工程中，攻击者可以远程执行如下命令