手机病毒的传播原理与对策分析

第20卷第9期 武汉科技学院学报 2007年9月 JOURNALOFWUHANUNIVERSITYOFSCIENCEANDENGINEERING Vbl．20NO．9 Sep．2007 手机病毒的传播原理与对策分析 孔维广 (武汉科技学院计算机科学学院，湖北武汉430073) 摘要：随着移动通信技术的发展，手机等移动设备无线接入网络的能力也越来越强，以移动设备为 目标的移动病毒进入了快速增长阶段。本文分析了手机病毒的生存环境特点，探讨了手机病毒的传播 原理{；J提出了针对性的防范对策。 关键词：手机病毒；移动通信网络；蓝牙；无线网络安全 中图分类号：TP311 文献标识码：A 文章编号：1009--5160(2007)--0049--04 手机病毒是以手机为攻击目标的一种计算机病毒形式，它能够以手机网络和计算机网络为平台，通过手机 通信途径，对手机以及短消息网关等网络设备进行攻击，造成手机异常和病毒的扩散。2000年6月，世界上首 例手机病毒在西班牙出现，随后的几年时间里，手机病毒在全球悄然流行，已蔓延到许多国家。。 2006年以来，网络上出现了公然出售的手机监控软件，这种软件下载安装到特定的手机上以后，具备这样 的监控功能：该手机所有短信内容、拨打和接听电话的时间、通话长度及机主姓名等信息均会悄悄地转发到指 定地邮件地址或者手机号码上，并且，如果没有密码，一般人也无法将软件从手机中卸载。 专家们相信，随着智能手机的功能越来越强大，在计算机上广泛存在的各种蠕虫、木马等计算机病毒将出 现在手机上，并且将以更快的速度扩散。 1 手机病毒的生存环境特点分析 手机病毒的存在地点主要是手机，而手机作为现代人的一个基本生活工具，具备以下有别于计算机的显著 特点： (1)手机用户的数量远远多于计算机用户的数量，手机用户数量增长的速度也远远高于PC用户数量增长的 速度，使得手机病毒的潜在传播对象达到数十亿计； (2)手机的操作系统平台曾经是由手机厂商单独控制，近年为了鼓励第三方厂商开发新的应用，手机厂商向 第三方厂商开放了操作系统平台，很多应用都能够访问公共互联网，例如电子银行业务、帐单支付服务、电子 邮件、游戏下载等等，这些应用成为黑客攻击手机的重要目的； (3)过去若干年中，基于计算机系统的黑客技术已经炉火纯青，针对手机上的开放平台WindowsMobile和 Symbian操作系统的手机病毒已经出现多起。可以说，黑客技术攻击手机操作系统的条件已经成熟； (4)众多的手机提供了蓝牙无线接人功能，使得手机可以互相通过蓝牙技术通信，也可以与电脑设备连接， 客观上提供了手机病毒在手机间和手机与电脑间传播的途径； (5)手机作为一个相对廉价的移动设备，其内存资源一般不太充裕，使得体积较大的反病毒系统难以安装， 尤其是反病毒系统的病毒库难以存储，客观上为手机病毒的清除造成很大的障碍，而目前基于手机操作系统和 手机环境的反病毒软件开发明显滞后； 一 所以，一些专家令人不安地担心，手机病毒的危害将远远地超过PC病毒。 收稿日期：2007—08—12 作者简介：孑L维广(1970一)，男，副教授，研究方向：信息安全 万方数据 50 武汉科技学院学报 2007年 2 手机病毒的攻击类型及其原理 随着电信技术的不断进步，无线通信技术的发展非常迅速，无线网由慢速的数据服务向复杂、高速的流媒 体服务演进是必然趋势，这种技术发展使得一直以来与互联网存在物理隔离并因此而免受攻击的移动通信网真 正成为互联网的一部分，并给攻击者提供了更加开放的攻击平台。目前主流的无线通信技术有GSM，CDMA， 蓝牙、无线局域网等。这些技术在本质上都是通过开放频率在终端和固网的末端进入移动领域。 一套完整的蜂窝移动通信系统主要由几个部分构成(如图1)：交换网络子系统(ss)、无线基站子系统(BSS)、 移动台(MS)及操作维护子系统(OMC)，手机属于移动台，是移动网络系统的移动设备部分。手机包括客户 识别卡(SIM卡)和移动终端，客户识别卡是一种智能卡，即用户的身份卡，它存有认证客户身份的所有信息， 以及网络与客户之间的关联数据，移动终端只有插入客户识别卡之后才能正常通信。而移动终端的基本功能就 是完成信息的编码、加密、调制解调、发射接收等功能。 无线基站子系统是在特定的无线覆盖区中与移动台进行通信的系统设备；它由移动交换中一t2,(MSC)控制， 负责完戗无线发送接收和无线资源管理等功能； 手机短信子系统包括手机、短消息网关(SMG)、短消息中心(SMSC)，手机发送短消息时，短消息从手 机到基站之间一般走信令通道，然后被发送到短消息网关，短消息网关将其翻译成短消息中心的协议并包装成 数据包发送给短消息中一t2,，短消息中心再将其进行缓存并通过交换网络转发给短消息目的地。从理论上讲，通 过短消息数据包可以实现对短消息网关和短消息中心的攻击。 手机病毒的第一种类型是通过蓝牙设备在手机之间直接传播，攻击手机本身。蓝牙是一种支持设备短距离 通信的无线技术，能够在移动电话、PDA、无线耳机、笔记本电脑等众多设备之间进行直接的信息交换。两个 蓝牙设备进行连接的唯一身份验证依据是一个PIN码，只要双方的PIN码一致即可完成配对，随后的通信连接 也无需每次确认。PIN码被破解的可能性是比较大的，很多手机配备的蓝牙功能都是默认打开的，一部分消费 者甚至根本不知道其蓝牙功能已开启也不知道如何关闭。所以说蓝牙的漏洞是客观存在的。 全球首个通过蓝牙设备传播的病毒WROM—EPOC．CABIR．A出现于2004年6月，病毒文件传到手机上， 若未被使用者识破，被安装后手机就会中毒。CABIR是一种概念证明型蠕虫病毒，它将自己复制到别的运行 Symbian操作系统的手机上，以安装系统文件(SIS)的形式进入系统，它将自己伪装成名为Caribe的安全工具， 当它运行后，就修改相应的操作系统信息，使自己在手机每次开机后自动运行，运行后在手机屏幕上显示单词 “Caribe”，并向它搜索到的手机发送病毒。 能窃取蓝牙传输数据的软件RedFang已经证明，窃取蓝牙通信的数据不存在任何障碍，通过蓝牙设备能够 偷偷获取被攻击手机存储的全部资料、联系人列表、私人照片以及关于手机本身的序列号等技术细节，而被攻 击者唯一可见的现象就是蓝牙图标的变化，非常不容易被发现。 手机病毒的第二种类型是通过短消息传播并攻击手机本身，传播可以发生在手机和手机之间，也可以发生 在短消息服务器和手机之间，主要传播方式是病毒短信。通过短信方式的病毒传播如图2所示，用户如果在不 良网站上注册了带有病毒短信的短信服务，收到病毒短信后手机就中毒了，病毒短信一般看起来象乱码，无法 对其进行操作。该手机中毒后会向其他手机发送带毒短消息以达到扩散的目的。 手机病毒的第三种类型是通过攻击、控制网关设备或者是WAP服务器，向手机用户大量发送垃圾短消息(见 图3)。这种攻击既可以从连接因特网的同网部分发起，也可以从移动终端部分发起。这种攻击所需的大部分技 术与目前电脑网络系统上采用的技术是一致的。 图1移动通信系统的网络结构 图2病毒短信传播方式图 图3控制网关和服务器的病毒攻击方式 爨忒羹嗽鲡瓣蔗∥ 万方数据 第9期 孔维广：手机病毒的传播原理与对策分析 51 例如世界上第一个被发现的无线病毒“Timofonica”在2001年6月出现在西班牙，该病毒通过电子邮件散 发，具有广播SMS短信给某个SMS服务器的功能，不但可以在普通的电子邮箱之间传播，还可以通过短信服 务营运商提供的路由，向任何手机用户发送大量垃圾信息和广告。 “Delf—HA”是一个特洛伊木马病毒，它感染PC之后，该计算机会自动到特定网站下载一个垃圾短信，通 过提供短信发送服务的俄国电信网站的SMS网上短信服务，随机发送给手机用户。 “手机特洛伊木马”病毒感染手机之后，发作时会控制手机自动向外拨出电话或者发送电子邮件，Et本曾 出现过40多个中毒手机在同一时间自动拨打当地的报警电话的事件。 总之，手机就相当于一部小型电脑，它具备相应的硬件设备、操作系统以及应用软件，目前的短信也已经 超出纯文本的概念，包括铃声、图片等，都需要手机操作系统进行翻译运行，恶意代码或恶意短信就可以利用 操作系统的某些漏洞，进行多种不同程度的控制和破坏。而无线通信网络在物理设备上也已经与因特网连接， 众多无线服务也已与因特网服务结合起来，使得通过因特网攻击无线通信网的固网设备和移动设备成为可能。 3 手机病毒的防范对策分析 目前，很少手机具备防病毒功能，更少的手机使用者具备预防手机病毒的意识和知识，面对可能出现的严 峻形势，相关机构和部门以及使用者都应该行动起来，采取相应的对策。 首先，对于通过蓝牙设备的攻击，用户可以采取相应的防范措施。蓝牙设备传输数据的距离非常有限，通 常在十米左右，且很难穿越墙壁等障碍，即便如此，专用的附加天线仍然可以从较远的距离搜寻到蓝牙信号。 用户在使用蓝牙设备必须具备相应的安全意识，在安全的地点和时间使用蓝牙设备，选择可靠的传送对象，其 他时间可以关闭蓝牙设备或者将手机设置成“蓝牙不可见”，拒绝别的蓝牙设备的搜索，防止别有用心的人非合 法地连接。 可浏览网站的手机应避免浏览不安全的网站，这些网站可能含有控件和恶意代码，慎从不了解的网站下载 信息，下载信息之前要确认下载站点的安全性。 WAP手机感染病毒的一个重要途径是通过短信息的收发，一旦接收到带有病毒的短消息，阅读后便可能会 中毒，甚至遭到严重破坏，所以，对于不明来源发送的短消息，或者收到乱码的短信，应及时删除，不要轻易 打开。对于来电显示是乱码的来电应拒绝接听。 总之，从用户使用的角度来看，主要对策是准确合理地使用蓝牙设备，监测乱码短信和来电，以及谨慎访 问网站。 一旦手机已经感染病毒，就要依靠杀毒系统了。一般的选择有在线杀毒、手机版杀毒软件、 格式 pdf格式笔记格式下载页码格式下载公文格式下载简报格式下载 化手机系 统。一些手机的官方网站开通了手机的WAP杀毒服务，只要用手机登陆这些站点即可进行无线病毒扫描和清除 工作。若染毒手机与电脑能够进行无线连接，也可以采用电脑运行支持手机病毒查杀的杀毒软件(如金山毒霸 2006)，将手机作为移动存储设备来查杀病毒。手机版杀毒软件则是在手机上运行安装杀毒软件，如Symantec 公司专门为运行Symbian操作系统的诺基亚系列手机开发了杀毒软件，趋势科技为采用WindowsMobile和 Symbian操作系统的系列手机开发了杀毒软件TrendMicroMobileSecurity2．0，金山公司开发了支持多手机的 “金山毒霸手机版”等等。格式化手机系统是理论上可行的一种方法，将手机的所有存储设备进行格式化是可 以彻底清除病毒的。 除了手机用户应采取相应的对策以外，移动通信营运商在这方面也是大有可为的。绝大多数手机病毒的传 播必须经过无线基站子系统，攻击对象是其他手机或者是营运商固网部分网络设备，因此，在无线接收天线与 基站收发信台之间增加病毒防火墙，以及在无线营运商固网部分与因特网之间增加相应的隔离设施和病毒防火 墙都将是非常可行且有效的措施。基站天线与收发信台之间的病毒防火墙可以监测发现移动终端发来的数据中 含有的病毒信息，及时进行病毒过滤并发出警告，从而切断病毒传播途径。固网与因特网之间的病毒防火墙则 需要在现有基于电脑病毒的防火墙基础上进行功能扩充。 从产业的角度来看，由于无线营运网络移动部分的安全问题是由新技术引入带来的，理论上讲，恶意攻击 者可以实现对终端和网络侧的双向攻击，而这部分的安全性长期未得到足够的重视，也不是手机厂商和传统反 病毒厂商的长处。因此，为了应对手机病毒进入增长期的趋势，手机厂商应采取措施防止手机出现安全漏洞， 反病毒产业界也必须及时采取有效措施，加强手机领域的反病毒研究和投入，开发出更多更好的手机反病毒软 万方数据 52 武汉科技学院学报 2007年 件，以形成强大的反病毒产业力量来对抗手机病毒的增长趋势。 4 结束语 市场调查公司Visiongain公布的《2005～2010移动病毒防护市场》 报告 软件系统测试报告下载sgs报告如何下载关于路面塌陷情况报告535n,sgs报告怎么下载竣工报告下载 显示，全球移动电信装置病毒防护 市场正在增长中，2007年将达到121亿美元，未来将有更多的病毒针对智能手机发起攻击。在我国，随着移动 通信领域各种增值服务的推出，具有丰富应用功能的智能手机必将成为市场的主流，手机病毒产生的冲击将会 越来越大，关于安全的问题容不得丝毫懈怠，防病毒研究机构应迅速投入足够的研究力量，并且，随着手机企 业与广大终端用户开始重视病毒防护工作，该市场将快速增长。 参考文献： [1】李恺．GSM手机的病毒威胁[J】．信息安全与通信保密，2005，(7)：226--228． [2】苏洪斌．新技术下的移动通信网络安全[J】．信息安全与通信保密，2006，(10)：103--105 [31付建明．计算机病毒分析与对抗[M】．武汉：武汉大学出版社，2005． 【4]张彘’lGSM网络优化——原理与工程[M】．北京：人民邮电出版社，2003． 万方数据