手机“病毒”分析及查杀

你见过手机病毒吗？手机病毒是怎么工作的？手机病毒如何查杀？我们共同来探讨一下这些话题。
　
　　我在手机“病毒”上加了引号，是因为我到目前为止没有见过真正的手机病毒，我们知道，病毒应该具有以下特点：1、传染性    2、破坏性    3、潜伏性    4、可触发性    5、寄生性手机病毒按病毒形式可以分为四大类：1.通过“无红传送”蓝牙设备传播的病毒“卡比尔”、“Lasco.A”。
　
　　小知识： “卡比尔”（ Cabir）是一种网络蠕虫病毒，它可以感染运行“Symbian”操作系统的手机。手机中了该病毒后，使用蓝牙无线功能会对邻近的其它存在漏洞的手机进行扫描，在发现漏洞手机后，病毒就会复制自己并发送到该手机上。
　
　　Lasco.A病毒 与蠕虫病毒一样，通过蓝牙无线传播到其它手机上， 当用户点击病毒文件后，病毒随即被激活。
　
　　2.针对移动通讯商的手机病毒“蚊子木马”。
　
　　小知识： 该病毒隐藏于手机游戏“打蚊子”的破解版中。虽然该病毒不会窃取或破坏用户资料，但是它会自动拨号，向所在地为英国的号码发送大量文本信息，结果导致用户的信息费剧增。
　
　　3.针对手机BUG的病毒“移动黑客”。
　
　　小知识： 移动黑客（ Hack.mobile.smsdos）病毒通过带有病毒程序的短信传播，只要用户查看带有病毒的短信，手机即刻自动关闭。
　
　　4.利用短信或彩信进行攻击的“Mobile.SMSDOS”病毒，典型的例子就是出现的针对西门子手机的“Mobile.SMSDOS”病毒。
　
　　小知识： “ Mobile.SMSDOS”病毒可以利用短信或彩信进行传播，造成手机内部程序出错，从而导致手机不能正常工作。
　
　　常见手机病毒及其毒发症状EPOC_ALARM ： 手机持续发出警告声音EPOC_BANDINFO.A ： 将用户信息更改为 “ Some fool own this ”
　
　　EPOC_FAKE.A ： 在手机屏幕上显示格式化内置硬盘时画面，吓人把戏，不会真格EPOC_GHOST.A ： 在画面上显示 “ Every one hates you ” （每个人都讨厌你）
　
　　EPOC_LIGHTS.A ： 让背景光不停闪烁EPOC_ALONE.A ： 这是一种恶性病毒，会使键操作失效。
　
　　Timofonica ： 给地址簿中的邮箱发送带毒邮件，还能通过短信服务器中转向手机发送大量短信。
　
　　Hack.mobile.smsdos ：会让手机死机或自动关机。
　
　　Unavaifabie ： 当有来电时，屏幕上显示 “ Unavaifaule ” （故障）字样或一些奇怪的字符。如果此时接起电话则会染上病毒，同时丢失手机内所有资料。
　
　　Trojanhorse ： 恶意病毒，病毒发作时会利用通迅簿向外拨打电话或发送邮件。甚至打电话找警察。
　
　　从以上分析我们可以看出，针对手机的攻击程序都没有寄生性和传染性的特点，因此我们还不能把它们称之为“病毒”，只能把他们称为手机漏洞的攻击程序。以下我们详细分析这些程序，以及他们利用的手机漏洞。
　
　　手机漏洞分析，根据漏洞发现时间上的先后顺序，我把已经公布的手机漏洞进行了整理，到目前为止，主要有以下一些手机漏洞：1、Nokia  某些产品PDU格式漏洞：荷兰安全公司ITSX的研究人员发现，诺基亚的一些流行型号的手机的操作系统由于没有对短信的PDU格式做例外处理，存在一个Bug，黑客可以利用这个安全漏洞向手机发送一条160个字符以下长度的畸形电子文本短信息来使操作系统崩溃。该漏洞主要影响诺基亚3310、3330和6210型手机。
　
　　2、Siemens 35系列特殊字符漏洞：由于手机使用范围逐渐扩大，中国安全人士对手机、无线网络的安全也产生了兴趣，2001年底，中国安全组织Xfocus的研究人员也发现西门子 35系列手机在处理一些特殊字符时也存在漏洞，将直接导致手机关机。
　
　　3、Panasonic的GD87彩信手机存在漏洞：2002年12月，T-Mobile International AG 公司确认了在新款松下彩信手机软件中出现了漏洞，这个漏洞可以让手机不经过使用者的同意而访问付费服务，其中的原因是GD87支持WAP PUSH中的service loading方式。
　
　　4、Orange 的SPV  存在允许运行非认证软件漏洞：英国电信商Orange的SPV是市面上第一款采用微软Smartphone 2002操作系统的手机，基于安全考虑，Orange只允许经过该公司认证的软件才能 在SPV手机上执行。但2003年初已有黑客破解SPV上的安全机制，并公开此一破解方法，这样，程序无须通过Orange认证，就可直接流入网络， 用在SPV手机上，从而对用户的手机产生破坏。
　
　　5、Nokia的Vcard存在漏洞：VCard格式是一种全球性的MIME标准，最早由Lotus和Netscape提出。该格式实现了通过电子邮件或者手机来交换名片。Nokia的6610、6210、6310、8310等系列手机都支持Vcard，但是其6210手机被证实在处理Vcard上存在格式化字符串漏洞。攻击者如果发送包含格式字符串的vCard恶意信息给手机设备，可导致SMS服务崩溃，使手机被锁或重启动。
　
　　6、Siemens的"%String"漏洞：2003年3月，西门子*35和*45系列手机在处理短信时，在处理短信时遇到问题。当接受到"%String"形式的短信时，如“%English”西门子手机系统以为是要更操作改系统语言为英文，从而导致在查看该类短信时死机，利用这一点很容易使西门子这类手机遭受拒绝服务攻击。
　
　　手机病毒趋势：虽然已经在不少手机上发现了安全问题，但是到目前为止，还没有看到真正意义上的手机病毒，这并不是因为没有人愿意写，而是存在着不少困难：1.　手机操作系统是专有操作系统，不对普通用户开放，不像电脑操作系统，容易学习、调试和程序编写，而且它所使用的芯片等硬件也都是专用的，平时很难接触到；2.　手机系统中可以“写”的地方太少，在以前的手机中，用户是不可以往手机里面写数据的，唯一可以保存数据的只有SIM卡，而这么一点容量要想保存一个可以执行的程序非常困难，况且保存的数据还要绕过SIM卡的格式。
　
　　3.　以前手机接收的数据基本上都是文本格式数据，我们知道文本格式也是计算机系统中最难附带病毒的文件格式，同样在手机系统中，病毒也很难附加在文本内容上。
　
　　但是随着手机行业的快速发展和基于手机的应用不断增多，这种局面已经开始发生变化，特别是：1.　K－JAVA大量运用于手机，使得编写用于手机的程序越来越容易，一个普通的Java程序员甚至都可以编写出能传播的病毒程序；2.　基于Symbian、Pocket PC和SmartPhone的操作系统的手机不断扩大，同时手机使用的芯片（如Intel 的Strong ARM）等硬件也不断固定下来，使手机有了比较标准的操作系统，而且这些手机操作系统厂商甚至芯片都是对用户开放API并且鼓励在他们之上做开发的，这样在方便用户的同时，也方便了病毒编写者，他们只需查阅芯片厂商或者手机操作系统厂商提供的手册就可以编写出基于手机的病毒，甚至这样的可以破坏硬件。
　
　　3.　手机的容量不断扩大既增加了手机的功能，同时也使得病毒有了藏身之地。现在的很多手机都有比较大的容量，甚至能外接CF卡，这样病毒就不再也不用发出“天下虽大，却没有我容身之地”的感叹了；4.　手机直接传输的内容也复杂了很多，有以前只有文本的SMS发展到现在支持2进制格式文件的EMS和MMS，因此病毒就可以附加在这些文件中进行传播。

原文转自：http://www.ltesting.net