病毒不是电脑的专利 常见手机病毒解析

维普资讯 http://www.cqvip.com 安全嘲啡　计算机与网络创新生活　露　蕊翮　病毒不是电脑的专利常见手机病毒解析　俗话说，知己知彼，百战不殆，对付　入侵。　经济损失、网络服务拥堵。　纸。本文将对手机病毒做较全面的介　也是程序的一种通常使用Ｊａｖ　、ｃ＋＋等　垃圾信息，或者反复拨打某一电话号　，绍，并通过一些案例分析使我们掌握手　语言进行编写作为软件首先它有可能　码，造成一定程度上的网络拥堵，更有　，发生任何变化，那就仍然正常使用吧。　所支持的各种功能扩展软件等等都是　手机病毒发展历史　月底去缴手机费的时候却发现自己出　手机应用的一个重要方面。而这些信息　由于早期的手机系统并不开放．所　事？其实这时你的手机已经中毒了，手　运行，然后显示给手机用户。而病毒则　为目的的。实际上世界上最早出现的病　域的东西，而随着手机的功能越来越电　破坏用户信息安全　２０００年６月，手机公司Ｍ。ｂｉｓｔａｒ收　脑化，病毒也并非只是电脑的专利了。　用户的手机上通常都会保存各种　到数量巨大的由计算机发出的名为　当然，手机病毒还没有厉害和数量庞大　私人信息诸如联系人电话、日程安排、　“Ｔｉｍ。ｆｏｎｉｃａ”的垃圾短信。该病毒向系　．到让手机像电脑一样不装防火墙和杀　甚至于银行密码等等这些重要信息难　统内的手机用户发送内容为脏话等的　．毒软件就几乎寸步难行的地步，但正因　免不会受到手机病毒制造者的垂涎通　垃圾短信。Ｉｇ－￣￣，该病毒对手机本身　，为如此，造成了人们对手机病毒的漠　过编写各种病毒将手机中的这些重要　并没有任何破坏作用，充其量只能是短　，视，不知道如何防毒、杀毒，往往造尊严　信息盗取出来，从而达到获利的目的。　信炸弹。　？　和　…件的操　什么是手机病毒　同电脑病毒类似，手机病毒就是一　层按键操作无效面　裹　或者导致手机无法开　嚣　户只能使用厂商在手机系统中所提供　，段恶意的程序代码，一种以破坏手机功　机更有甚者将会导致芯片损坏（硬件　的各种功能。　，能、影响手机正常使用的程序。和电脑　破坏）无法再次使用。这种直接给用户　这一阶段的手机病毒基本上是利　，病毒类似，手机病毒也具有传染性和破　带来损失的病毒攻击行为也是目前手　用手机本身系统所爆露出来的漏洞，针　坏性。并且由于手机平台的特殊性和手　机病毒中最为常见的种形式。　对某一型号的手机进行攻击。病毒只有　一暑　喜辜盂　通过手机传播非法信息　毒中毒后会自动搜索手机　影响主　，内母。豪；　ｌ　。　病毒传播方式：手机病毒要传播和　联系人列表，然后随机地将自身所包含　而后．随着智能手机不断的普及与　运行，必要条件是移动服务商要提供数　的信息，比如各种非法图片、短片通过　发展，手机病毒也随之发展起来。第一　据传输功能，或者手机支持Ｊａｖａ等高级　彩信发送出去。从而在传播病毒本身的　个出现在智能手机平台上的手机病毒　程序写入功能。现在许多具备上网及下　同时将有害信息传播出去。　名为＂Ｃａｒｉｂｅ＂，感染手机平台为ｓｖｍ一　载等功能的手机都可能会被手机病毒　强制发送垃圾数据，造成用户个人　ｂｉ　ｎＳ６０。其表现就是中毒的手机会自动　责任编辑：姚翌／２００７年第２２期《计算机与网络》　维普资讯 http://www.cqvip.com

安全咖啡屋　｝　Ｉ舅ｉ珊ＲＩ捌硒ｉ｜．Ｉｎ疆口　蕊积ｌｆ．１ｌ疆１Ｔ　辫　Ｌ・：哥　网三ａ’刚雨ｒｒ　Ｅ　７百　打开蓝牙功能。不断搜寻用户附近的蓝　现Ｃａｒｉｂｅ的程序图标，手机蓝牙也会自　件箱，当中毒手机接收到彩信之后，木　牙设备，一旦搜索到就会自动将病毒本　身发送给对方．不过该病毒最初的版本　动打开，并向能够搜索到的任何蓝牙设　备上发送带毒的ｓｉｓ文件。　马会自动将其删除，使用户无法正常使　用彩信功能。　并不会对手机内部的信息进行任何修　改。该病毒于当年年底在我国发现。　而第一款真正意义上的手机病毒　危害：由于感染后手机持续不间断　的搜寻蓝牙设备，使得电池被迅速消耗　殆尽。　防范方法：因为此类病毒通常是通　过带毒软件进行传播，所以用户轻易不　要安装用途不明的应用程序。在使用手　的名为“Ｌａｓｃｏ”，该病毒可以自动感染　Ｓｙｍｂｉａｎ系统的通用安装文件。即ＳＩＳ　防范方法：首先如果没有必要请不　要打开诸如蓝牙、ｗｉｉ等手机短程数据　ｆ机登录ＷＡＰ网站下载软件、游戏的时　候尽量去一些大型的下载站点。如果是　文件。它会自动将自身嵌入到ＳＩＳ文件　中，然后伺机传播出去。　手机病毒发展到现在，将攻击对象　定位为非智能手机的比较少见，主要攻　传输功能，或者在设置中将本机的蓝牙　等设定为隐藏状态（其他用户无法搜索　到）。另外不要轻易接收陌生人通过　ｗ卜Ｆｉ或者蓝牙发送过来的文件，因为　在ＰＣ上下载软件、游戏，尽量在传输到　手机之前使用ＰＣ端的杀毒软件事先查　一下病毒，目前电脑端的杀毒软件也能　查出部分出现时间较早的手机病毒。　击目标为各种智能手机或者可扩展平　台，比如塞班系列平台、ＷｉｎｄｏｗｓＭｏｂｌｅ　系列平台、Ｐｌａｔｏ系列平台、甚至于ＫＩａｖａ　平台。这其中又因为塞班系统是智能手　机的主流操作系统，所以病毒感染的数　量最多（占病毒总数量中的绝大部分）。　从２０００年发现第一例手机病毒到　今天，手机病毒的数量已经发展到一百　余种．不过危害巨大、比较流行的手机病毒不是很多。所谓防患于未然。防治　这很有可能是病毒自动发送的。　清理方法：安装手机版杀毒软件查　杀或者手动删除以下文件：　ｃ：＼ｓｙｓｔｅｍ＼ａｐｐｓ＼ｃａｒｉｂｅ＼ｃａｒｉｂｅ．ｒ￥ｃ　ｃ：＼ｓｙｓｔｅｍ＼ａｐｐｓ＼ｃａｒｉｂｅ＼ｃａｒｉｂｅ．ａｐｐ　ｃ：＼ｓｙｓｔｅｍ＼ａｐｐｓ＼ｃａｒｉｂｅ＼ｆｌｏ．ｍｄｌ　ｃ：＼ｓｙｓｔｅｍ＼ｒｅｃｏｇｓ＼ｌｆｏａｎｄｌ　ｃ：＼ｓｙｓｔｅｍ＼ｓｙｍｂｉａｎｓｅｃｕｒｅｄａ－　ｔａ＼ｃａｒｉｂｅｓｅｃｕｒｉｔｙｍａｎａｇｅｒ＼ｃａｒｉｂｅ．ａｐｐ　ｃ：＼ｓｙｓｔｅｍ＼ｓｙｍｂｉａｎｓｅｃｕｒｅｄａ－清理方法：安装手机版杀毒软件查　杀或者手动删除以下文件：　Ｃ：＼Ｓｙｓｔｅｍ＼Ａｐｐｓ＼ｉｎｓｔａｌｌｋＥｕｎｉｎｓｔａｌ１．　ｅｘｅ　Ｃ：＼Ｓｙｓｔｅｍ＼ＲＥＣＯＧＳ＼ＡｐｐＴｏｏｌｋｉｔ．　ｍｄｌ　Ｅ：＼ｓｙｓｔｅｍ＼ＲＥＣＯＧＳ＼Ｒ．ｅｃＭｅｍ一　Ｃａｒｄ．ｍｄｌ　ｃ：＼Ｓｙｓｔｅｍ＼ｄａｔａ＼ｗａｐｓｔｏｒｅ＼ｓｅｔ－　ｔｉｎｇｓ＼Ｅｗａｐｓｔｏｒｅ．ｅｘｅ　手机病毒最好的办法是从源头上掐断它，不让手机病毒有感染手机的机会，　从感染方法上来分类这些病毒。有利于　我们的手机防护。　这类病毒通过手机所支持的蓝牙、　Ｗｉ—Ｆｉ等短距离无线传输网络传播。该　传播方法不需要经过移动运营网络。仅　通过手机到手机即可短距离传播。　ｔａ＼ｃａｒｉｂｅｓｅｃｕｒｉｔｙｍａｎａｇｅｒ＼ｃａｒｉｂｅ．ｒ￥ｃ　下载安装软件：某些病毒会伪装成　最新的游戏或者某个软件的破解版来　引用用户安装，安装之后即已经被病毒　感染。　特点：通常大部分经过此种途径传　播的病毒自身不会在手机端复制传染。　该类病毒的特点就是伪装成正常安全　发送／接收带毒短信／彩信：利用手　机固有漏洞，通过发送包含特定信息　的短信、彩信等方式传播病毒。　特点：当特定系统、特定型号的手　机接收到这种带毒短信／彩信之后，打　开阅读即中毒。该类病毒通常会自动搜　索中毒手机的联系人信息，然后随机将　自己转发出去，造成更多手机中毒。　特点：该类病毒通常只是破坏单　的文件，诱骗用户与运行，另外通常此　个手机的使用功能，对于整体通讯网络　类病毒的“可活动范围”都比较大，从不　案例：“Ｍｏｂｉｌｅ．ＳＭＳＤＯＳ”　该病毒出现时间较早并且只存在　，的危害比较低。而其传播缺点是需要两　个手机有过段距离接触（比如经过蓝牙　能让你正常打电话到将系统完全整瘫　痪均有可能。　于西门子手机中目前明基西门子手机　，还没有被感染的报告。　需要要求相隔十米左右）才有被传染的　。Ｊ能。　案例：“ＬｉａｎＦｅｎｇ”Ｉ商毒　此病毒为木马程序。感染手机系统　感染特征：无法正常工作、按键无　反应、手机无法开机等。　案例：“Ｃａｂｉｒ”Ｉ商毒　该病毒为蠕虫病毒，是目前危害　为ＳｙｍｂｉａｎＳ６０。　感染特征：无明显特征，无法正常　危害：该病毒利用西门子手机某些　型号中的ＢＵＧ，破坏系统程序，造成手　最大、最常见的病毒，主要感染Ｓｙｍ－　ｂｉａｎ系列智能手机系统（诺基亚用户注　收发彩信。　危害：用户在安装被该程序感染的　机内部软件错误。不过其针对性很强，　只对特定多款手机型号有效。　意了）。　感染特征：手机中毒后桌面上会出　＼　软件之后。即会释放该病毒木马。木马　会自动隐藏到后台。持续监听用户的收　防范方法：此类病毒有一个重要的　共同点。就是需要阅读所收到的短信或　《计算机与厨络》２００７年第２２期／责任编辑：姚翌　维普资讯 http://www.cqvip.com 安全咖啡　计算机与网络创新生活　者彩信，才会激活病毒。如果用户收到　换到别品牌手机上，删除病毒短信　将自己传播出去。所以对于手机病毒　陌生人发送过来的内容奇怪的短信，通　即可。　的预防也是要全方位多层次的。除了　常就要特别注意了。或者是熟人发送的　总结：实际上，手机病毒的传播途　以上所简单介绍的这些手机病毒防御　内容不正常的短信也要小心。如果不幸　径并不是单线的，很多病毒同时拥有　方法（删除不正常短信彩信、保证下载　中了病毒则可通过尝试删除带毒短信　多种传播途径，比如著名的“Ｌａｓｃｏ”，　安全性、不接受陌生连接请求），在使　来清理。　它可以感染后缀名为ＳＩＳ的文件，用　用手机浏览ＷＡＰ站点的时候也尽量　清除方法：中毒后立刻关闭手机，　户通过下载安装带毒软件从而中毒，　不要去一些非法网站，将中毒的可能　如关机无效则直接拔电池。将ＳＩＭ卡　中毒之后该软件还能通过蓝牙等方式　降到最低。　ＭＳＮ防范手记手动清除ｃｈｃｐ．ｅｘｅ病毒　ＭＳＮ早已成为木马病毒通向第三　ＣＨＩＮＥ＼ＳＹＳＴＥＭ　ｔＣｕｒｒｅｎｔＣｏｎ－　代替程序ｆｔｐ．ｅｘｅ、ｔ邱．ｅｘｅ、ｄＵｃａｃｈｅ＼ｔｆｔｐ．　方计算机感染跳越的平台。在好友圈　ｔｒｏｌＳｅｔ＼Ｃｏｎｔｒｏ１　ｅｘｅ、ｄｌｌｃａｃｈｅ＼￣ｐ．ｅｘｅ删除，并将％Ｓｙｓ—　中．只要盗取一个ＭＳＮ好友账号或感　分支下的‘＇ＷａｉｔＴｏＫｉＵＳｅｒｖｉｃｅ　Ｔｉｍｅ—　ｔｅｍ％＼ｍｉｃｒｏｓｏｆｔ目录下的ｂａｃｋｕｐ、ｆｔｐ、　染一台用户计算机，病毒即会伸出罪恶　ｏｕｔ＂＝的值为“７０００”，达到更改自动关闭　ｂａｃｋｕｐ．ｔｆｔｐ改回到目录％Ｓｙｓｔｅｍ％Ｔ。　之手。将会在用户ＭＳＮ聊天时发送病　进程等待时间的效果。　四、删除注册表分支［ＨＫＥＹ＿ＬＯ—　毒信息。　完成上述后，病毒仍没有安静地等　ＣＡＩ　ＭＡＣ：ＨＩＮＥ＼ＳＯＦＴＷＡＲＥ＼Ｍｉ—　病毒分析　待，而是查找被感染的计算机中是否存　ｃｒｏｓｏｆｔ＼Ｗ铀ｄＯＷＮ　ＮＴ＼ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼　该病毒属于ＭＳＮ蠕虫变种，被感　在ＦＴＰ目录，如果有则将原正常程序改　Ｗｉｎｌｏｇｏｎ］下的“ＳＦＣＤｉｓａｂｌｅ”＝ｄｗｏｒｄ：　染的计算机会自动向ＭＳＮ联系人发送　名为ｂａｃｋｕｐ．ｆｔｐ、ｂａｃｋｕｐ．ｔ卸并复制到％　００００００００键值。恢复系统文件保护。　诱惑文字消息和带毒压缩包，当对方接　Ｓｙｓｔｅｍ％＼ｍｉｃｒｏｓｏｆｔ目录下．随后在系统　五、最后将注册表『ＨＫＥ　上０一　收并打开带毒压缩包中的病毒文件时，　目录％Ｓｙｓｔｅｍ％下写入　．ｅｘｅ、ｔ邱．ｅｘｅ、　ＣＡＩ　ＭＡＣＨＩＮＥ＼ＳＹＳＴＥＭ＼Ｃｕｒｒｅｎｔ—　系统即成为新的受害者，并因此尝试感　ｄＵｃａｃｈｅ＼ｔｆｔｐ．ｅｘｅ、ｄｌｌｃａｃｈｅｋｆｔｐ．ｅｘｅ可执行　ＣｏｎｔｒｏｌＳｅｔ＼Ｃｏｎｔｒｏ１］分支下的”ｗａｉｔ—　染另一台计算机。病毒大小为４３４，１７６　程序，做完一系列的手脚，病毒开始向　ＴｏＫｉＵＳｅｒｖｉｃｅＴｉｍｅｏｕｔ”＝改为”２００００”从　字节，通过ＭＳＮ聊天工具进行传播。　ＭＳＮ联系人发送诱惑型文字消息，并　而恢复系统自动关闭进程等待时间的　被感染的计算机．病毒首先会在系　夹带毒包Ｆ０５３８　ｊｐｇ．ｚｉｐ欺骗用户打开。　默认配置。　统目录％Ｗｉｎｄｏｗｓ％下生成含带病毒源　清除方法　在ＭＳＮ病毒中变体有很多种如：　体的Ｆ０５３８　ｊｐｇ．ｚｉｐ压缩包，随后病毒自　中了此毒的用户也不要紧张，在了　ＭＳＮ机器人、ＭＳＮ小丑、ＭＳＮ性感　身开始在计算机中的％Ｗｉｎｄｏｗｓ％目录　解了生存原理后要想清除该病毒也非　相册等，其原理都是利用ＭＳＮ作为　下创建副本ｃｈｃｐ．ｅｘｅ执行文件，并在注　难事，只要按照以下几个步骤实施即可　平台在同聊友沟通的同时发送病毒信　册表ＨＫＥＹ—ＬＯＣＡＩ　ＭＡＣＨＩＮＥ＼　将病毒清除出界，让系统中的ＭＳＮ正　息．通过ＭＳＮ好友关系欺骗用户点　Ｓ０ＦＴＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼Ｃｕｒ－　常运行。　击，然后再次传播，从而形成强大的传　ｒｅｎｔＶｅｒｓｉｏｎ＼Ｒｕｎ　一首先要进入注册表分支　播途径。为了更好地处理此类病毒，这　、分支下建立“ｃｈｃｐ．ｅｘｅ”＝“％Ｗｉｎ－　ＨＫＥＹＬＯＣＡＩ　ＭＡＣＨＩＮＥ＼　里建议用户加强计算机的先期保护　＿ｄｏｗｓ％＼ｃｈｃｐ．ｅｘｅ”自启动项目，然后病毒　ＳＯＦＴＷＡＲＥ＼Ｍｉｃｒｏｓｏｆｔ＼Ｗｉｎｄｏｗｓ＼ＣＤｒ－　如：开启杀软定时升库，安装安全类软　开始修改注册分支　ｒｅｎｔＶｅｒｓｉｏｎ＼Ｒｕｎ下，将“ｃｈｃｐ．ｅｘｅ”　％　件，不定期打入系统补丁等，并且多了　ＨＫＥＹＬＯＣＡＩ　ＭＡＣＨＩＮＥ＼　解每日病毒动态，即时作好防范工作　＿Ｗｉｎｄｏｗｓ％＼ｃｈｃｐ．ｅｘｅ”自建的随机启动　Ｓ０ＦＴＷＡＲＥ＼Ｍｉｃｒ０ｓｏ　Ｗｉｎｄｏｗｓ　ＮＴ＼　项删除．完成后重启计算机。　即可，一但用户被感染时应立即作出　ＣｕｒｒｅｎｔＶｅｒｓｉｏｎ＼Ｗｉｎｌｏｇｏｎ下的“ＳＦＣＤｉｓ—　二、进入％Ｗｉｎｄｏｗｓ％＼目录下将病　回应，利用手工删除或下载相应的专　ａｂｌｅ”＝ｄｗｏｒｄ：∞ｄ和　“ＳＦＣＳｃａｎ”＝　毒源体文件ｃｈｃｐ．ｅｘｅ及Ｆ０５３８．ｊｐｇ．ｚｉｐ　杀工具进行清理，以免让更多的用户　ｄｗｏｒｄ：００００００００值，进行关闭系统文件　压缩包删除。　成为受害者。　保护，并且更改ＨＫＥＹ＿ＬＯＣＡＬ＿ＭＡ—　三、将目录％Ｓｙｓｔｅｍ％下的ＦＴＰ破坏　责任编辑：姚翌／２００７年第２２期《计算机与网络》