?350?
全国
计算机安全学术交流会论文集
手机恶意代码捕获体系
梁宏1
张健1
肖新光2
邱永良2
1国家计算机病毒应急处理中心2安天实验室
摘要:本文针对手机恶意代码传播的不同途径,提出与移动通讯运营商相配合进行恶意代码捕获的方法,同时特别设想了不依赖运行商的伪终端诱捕
方案。另外,针对通过蓝牙进行短距传播的恶意代码,提出利用可移动的蓝牙自动传输捕获器来捕获恶意代码样本。关键词:’手机恶意代码捕获
系统伪终端蓝牙
“Card仃ap”,它们可以说是手机恶意代码发展过一、手机恶意代码概况程中在传播能力上的转折点;而2005年11月发现的以偷窃用户隐私信息为目的的“PBSteal”,使智能手机的出现使得手机开始拥有接收数据、写入数据、执行数据的能力。智能手机使用的中央处理器和嵌入式操作系统逐渐统一成标准,其体系结构越来越像普通的个人电脑,中央处理器运算的能力增强、存储卡容量变得更大。这些都为手机恶意代码的发展提供了良好的基础。目前,市场上流行的智能手机其操作系统主要手机恶意代码对用户的危害更加严重。与计算机病毒相比,手机恶意代码既有相似之处,又有自身的特点:手机恶意代码拥有比计算机病毒更多的传播途径,如直接通过蓝牙的短距传播等途径。手机操作系统和处理芯片都是专有的,而且大量不同品牌的手机接口存在差异,多种操作系统和多种处理芯片并存,相对来说
程序的编写和调试比较困难,一旦被病毒感染处置复杂,多数用户只能进行原厂恢复,而不能自行处理。随着智能手机的普遍应用,手机病毒的危害也日益严重了。其主要危害包括:用户的重要信息;盗用用户链路和通讯费用点击
网络广告;传播非法信息,为各种色情、非法的图片、语音、
有四种,它们是SvInbiaIl、附m、W讥dowsCE和
Li肌x。其中SymbiaIl操作系统是市场主流,因此
也成为手机恶意代码的侵害的主要目标,从已有的样本数量统计看来,以SymbiaIl为平台传播的手机恶意代码数量占到了样本总量的80%以上。从2000年出现第一个手机恶意代码至今,同计算机病毒一样,手机恶意代码也经历了由简到繁的发展过程,最初手机恶意代码只是简单的发送恶意信息攻击目标,但很快它们就具备了自我复制传播、利用系统漏洞传播等特性,手机恶意代码的传播能力便随之增强,其危害程度也日益严重。在手机恶意代码发展过程中,有几个是具有代表意义的,如2004年6月发现的通过手机蓝牙传播的“Cabir”手机蠕虫和2005年9月发现的
电影的传播提供了便利;破坏手机软硬件,导致
手机无法正常
工作;强制手机不断地向所在通讯网络发送垃圾信息,造成通讯网络瘫痪等。
二、手机恶意代码传播机理分析
到目前为止,手机恶意代码通常只能利用手
机系统的漏洞进行传播,可以是利用特定系统得
针对SymbiaIl和个人电脑的跨平台手机恶意代码
漏洞,也可以是跨平台的安全审查漏洞。手机恶
手机恶意代码捕获体系
意代码的传播途径主要有以下几种。
?35l?
待适当的时机,一旦条件是和,就进行进一步传
1.恶意短信恶意短信(sMS)按照攻击对象通常可以分
为两类。一种是对终端用户进行攻击。利用手机程序解析和显示短信的漏洞,构造特定格式的短
播核扩散。攻击者还常常利用手机用户的社交心理,通过包含诱人字样的电子邮件或者短信引诱
手机用户下载和运行病毒,达到攻击目的。如:“布若达”。
信,使手机在处理某种格式或特定内容的短信时系统发生崩溃、重启,以及其他事件。另一种是
对运营商服务器进行攻击。攻击者经由互联网络,占领短信网关或者利用服务网关的漏洞,借助网关来发送大量带恶意代码的短信,手机用户被动
4.互联网传播
首先,恶意代码感染计算机上的手