机可执行文件,用户通过红外传输或者数据线将被感染的可执行文件复制到手机上后,手机就被该恶意代码感染。典型的如“韦拉斯科”病毒。这种传播
接收这些短信,从而达到短信拒绝服务的目的。典型的就是利用各大门户网站的手机服务漏洞,恶意代码不停的用某个手机号码订阅某项服务或
者退定某个服务来达到攻击的目的,如“SMS。F100d”病毒。不管是对何种对象进行攻击,恶意短信都要经过SMS才能得以传播,其源头不外乎两种:要
方式通常需要手机用户主动将恶意代码或感染有
恶意代码的文件复制到手机上,因此通过此中方
式感染的几率相对较小。5.蓝牙传播通过手机的蓝牙模块进行复制,当恶意代码被手机用户接收并运行之后,感染手机的
软件系统,恶意代码再通过被感染手机的蓝牙模块自动
搜索相邻的带蓝牙模块手机,并试图进
行攻击,最典型的病毒就是“卡波尔”。不过对于这种途径,当手机的蓝牙模块设置为隐藏时,可以有效地避免这种攻击行为。随着手机蓝牙
么是单个的SIM卡发送短信道基站,要么利用
WEB网络发送到达基站;然后经由基站传输到
WAP网关,最后通过受害者
登陆的基站发送到受
害者手机上。
2.彩信和具有附件业务的形态传播彩信(MMS)是以二进制的形式发送的。攻击者对手机软件系统的漏洞进行分析,有针对性地对其操作系统和运行程序,精心构造短信或者彩信,并主动发送到目的手机,造成目的手机内
部程序出错,从而导致手机无法正常工作。如:“卡波尔”的变种“Mabir.A”。一般来说,对于文本类型的短信,危害性相对较小,因为它只能以文本的形式构造出导致解释器错误的短信,造成手机不能正常工作;而彩信(MMS)以二进制的形式
技术的推广,通过蓝牙传播的手机恶意代码将
成为主流。
从以上五类传播的途径来看,前两者都是通过运营商提供的数据传输服务来实现的;第三、
四种传播途径与计算机病毒的传播途径相类似;第五种则是移动
通信设备所独有的。
三、传统恶意代码捕获体系传统的反病毒机构病毒获取样本主要通过以下途径:通过用户上报/自动上报、现场/定向采集、主动收集、通过病毒监控系统进行网络采集、蜜罐采集等方法,以及与兄弟机构进行样本交换。为了保证获取病毒样本的质量、时间性和可控性,
恶意代码的主动捕获捕获系统成为各反病毒企业
传递,中间可以内嵌可执行程序,从而导致更大
范围的攻击和破坏。例如,当彩信或者附件的内容与其声明的内
容格式不同时,手机按其声明的格式接受、处理
该它,但是可能执行了它的恶意代码。
3.夹带在可下载软件中
手机可执行的恶意代码夹带在正常的应用软件中,当该软件被下载运行的时候,恶意代码就被激活,并实施破坏;或者是作为手机木马种植在手机上:此外,还有可能是潜伏在手机中,等
和机构的建设目标。
病毒主动捕获体系有三个重要的环节:1.源头捕获通过对网络资源的监控和遍历,发现可疑的网络资源,并进行进一步的深度分析。如对敏感
?352?
全国计算机安全学术交流会论文集
因此很有必要在短信网关、彩信网关上建立一个病毒检测平台。由于网关是网络之间的接口,数
网站的监控等。
2.终端捕获
主要指蜜罐技术。蜜罐系统可抓取漏洞扫描蠕虫、僵尸程序等,新一代蜜罐还可以捕获通过QQ、MSN传播的蠕虫、木马,而且可完整上报样
据流量很大,而短信属于实时数据,传统的反病
毒体系不能适用于这样的环境中,就要提出~种
基于网络的新的病毒检测机制。这种机制是建立在网络基础上的,充分考虑到网关的特点,具有
大流量高效检测的特点。这就是对手机恶意代码的流量捕获方法。
本、文件行为、
注册表行为、网络行为(例如识
别网络行为和攻击);可过滤掉已知正常文