智能手机的流行给手机病毒的滋生和肆虐创造了便利条件。这些病毒主要以破坏性的病毒木马和间谍、监听监控病毒等形式为主。在3G时代即将来临的大背景下,手机病毒的危害值得警惕。
据信息产业部2006年11月相关统计数据显示,我国手机用户已达5.48亿,随着3G牌照即将发布,国内手机市场规模将达到2亿部以上,这些新增或更换的手机,将以智能手机为主。功能强大的智能手机已经具备了与电脑几乎同样的功能,以Symbian、Windows mobile和Liunx为主流的手机操作系统日益完善且功能日益丰富; 彩铃/彩信、电子邮件、手机电视、手机游戏、WAP上网、多媒体应用、收音机、MP4、拍照以及文件的交换处理等等的应用日益推广,手机不再是一个简单的通信工具,已经成为人们日常工作和生活中重要的个人信息中心。
手机在带给用户便利的同时,安全问题也突显出来。丰富的通信和数据交换功能也为病毒传播提供了可能; 由于手机天生就是同网络联接在一起,红外、蓝牙、GPRS等无线技术为病毒传播提供了捷径; 短信、彩信、电子邮件、WAP和其他各类应用等都可能成为病毒的载体; 手机操作系统越来越复杂、存储卡的应用及容量的不断增大为病毒提供了生存空间。
手机病毒危害巨大
2000年世界上出现首个针对手机的Timofonica短信系统漏洞程序。随着智能手机的普及,2004年,针对诺基亚S60系列的Cabir病毒出现,随后各种病毒接踵而至,到现在手机病毒已有数百种之多。
手机病毒同PC病毒相似,当前主要以破坏性的病毒木马和间谍、监听监控病毒为主。病毒抓住手机的安全漏洞进行攻击,或者假装骗取手机用户执行相应病毒程序,并且利用手机的网络进行快速传播。作为手机病毒,首先要有几个特性: 传播性,通过各种方式向更多的设备进行感染; 传染性,能够通过复制来感染正常文件,破坏文件的正常运行; 破坏性较轻的为降低系统性能,破坏丢失数据和文件导致系统崩溃,最严重的将可能损坏硬件,对于监控病毒,则进行个人信息的偷盗。
由于手机的特殊性,近年手机病毒出现了一些显著特点,多年来一直从事手机病毒领域研究的北京网秦天下科技有限公司首席运营官史文勇博士认为因为手机的接口较多,网络连接方式丰富,传播方式更加隐蔽、更多,传播性更强; 由于手机是人最亲近的工具,手机内的用户信息是用户的好朋友,病毒传播更具有欺骗性,中毒更容易,范围更广泛,破坏性也更大; 而且很多病毒都是由中国自己制造出来的,呈现本地化的趋势。同时,手机由于同PC机相似,很多PC机上的病毒也很快地被移植到手机上,如最近一直让人头痛的“熊猫烧香”病毒。
熊猫烧香手机病毒
手机病毒使用户产生巨额话费、手机的程序失效、数据丢失、手机的硬件遭到损坏。在谈到手机的危害性时,史文勇博士说:“手机病毒的危害性可分为三类: 经济上的损失,比如‘帮’您订购各种收费业务,拨打国际长途等; 信用上的损失,比如发送恶意短信给你的通信录中的朋友,导致朋友的误解或者使朋友手机感染病毒; 设备和信息上的损失,比如破坏您的手机系统让其崩溃,可以使您无法开机、无法正常使用手机,可以清空您的记事簿或通讯录甚至格式化您的硬盘,可以窃取您手机中的私人信息等等。”
病毒的种类和特点
对于破坏性的病毒木马类,根据破坏程序可以分为破坏系统性能,如被称为手机病毒鼻祖的“Cabir”(卡比尔”)病毒,通过蓝牙进行传播,它搜索蓝牙传播范围内(10米)的蓝牙设备,如发现一台攻击范围内的手机打开了蓝牙后,将向其发起连接请求。这时,被攻击手机将得到一个连接提示,如果用户拒绝,病毒将不停地申请连接,直到用户离开蓝牙连接的范围。如果用户允许连接,那么包含病毒的SIS文件将会被拷贝到收件箱中。此时,如果用户安装该文件,系统会显示未认证的警告信息,如进行下一步的安装,那么手机即被安装在了用户手机上,同时启动病毒,继续进行篮牙搜索,寻找手机进行攻击。
另一种主要是破坏系统应用系统的病毒,破坏系统应用程序关联或应用程序。比如Skulls(“骷髅病毒”): 该病毒伪装成一款手机主题软件诱使用户安装,当用户安装该病毒后会发现手机上的大多数应用程序的图标被替换成骷髅图标,当用户点击该图标后会发现,该图标和其原来对应的程序已经没有关联,从而无法启动这些程序; 手机就只有呼叫和应答功能了。而且手机病毒也越来越利害,有些病毒已经开始同杀毒软件展开较量了,比如有一种叫Drever的病毒,是一款恶意SIS文件木马,主要通过攻击某些杀毒程序的启动载入文件的方式来阻止杀毒软件的运行,同时其比较强大的变种还会试图通过覆盖文件攻击杀毒软件。一般情况下,Drever是通过伪装成一款杀毒软件Simworks的升级安装包Simworks_update.sis来传播的,如果用户不慎安装该SIS文件,随时可能中毒。
我们国内用户对手机病毒的认识,应该是从Commwarrior(“武士”)病毒开始的。该病毒最早出现于俄罗斯,是S60系列手机的蠕虫,通过蓝牙和MMS消息传播。发送SIS的文件被随机命名,使用户防不胜防。除通过蓝牙传播,此也会读取用户本地手机号码地址簿,发送包含病毒SIS文件的MMS消息。还设定了时钟机制,从08:00 到 23:59 进行蓝牙传播; 晚上的 00:00 到 06:59则将进行彩信传播。而正是其彩信传播功能使其能在很短时间内大规模传播,大规模消耗手机用户资费,给用户造成经济损失。所以当用户手机交费发生较大变化时,一定要注意查看费用详单,以防中毒。
破坏性最大的是对手机中全部信息的破坏,甚至是硬件的损坏。最流行的是一个病毒叫FmtDev(“格式化杀手”)病毒,这是一款恶性病毒,可将手机C盘和扩展卡全部自动格式化,用户的个人数据和程序全部丢失,同时将手机恢复成出厂设置。另一种叫CardBlock(“锁卡”)的寄生性病毒,隐藏在InstantSiS中诱使用户安装。InstantSiS本是一款SIS打包软件,通过它,手机用户可以通过蓝牙、红外、彩信将手机中的应用程序打包成SIS文件传输到另一部手机或电脑中。而用户如果安装了带毒的InstantSiS软件,那么当用户使用它复制一个程序时,该病毒便会向用户的MMC卡设定一个随机密码锁定内存卡,一旦手机重启,再次试图访问MMC卡就需要输入病毒设定的密码了,由于这个密码是病毒随机生成的,猜中的概率极小,从而导致用户无法正常访问MMC卡上存储的重要信息。
对于间谍类病毒软件,最流行的是一种叫“卧底”的软件,是带有间谍软件性质的高危软件。如果不慎安装中了此病毒,无法在“程序管理器”中发现该软件的安装信息,也发现不了程序的图标,但程序已经在后台运行。该病毒能运行一些侵犯手机用户隐私的功能,如: 远程手机监听监控(通过拨打用户的手机,监听用户手机附近的声音,使手机变成为一台窃听器),监听记录手机短信(包括短信内容),监听记载通话记录(包括通话时间,拨打/接听的号码)等等,这些信息的记录都在后台运行,同时将这些信息悄悄传送到一个服务器上供他人查看而导致隐私泄漏。
手机病毒的预防
当前人们对手机病毒预防意识比较淡薄,对手机病毒认识非常少; 手机中病毒后绝大多数是手足无措,而且可能造成非常严重的损失,所以一定要做好手机病毒的预防,要做好下面几点:
不要安装来历不明的软件,如通过不明蓝牙连接传来的软件,通过彩信传来的软件,在非软件官方网站下载的软件等等。
在不使用蓝牙、红外等连接时,将其关闭,因为很多病毒均通过这些渠道传播; 注意手机资费的异常变动; 定期给手机内的重要信息做好备份。
安装一款手机杀毒软件,如安装手机专用杀毒等软件,其实这是最方便、最安全的防范病毒方法,可大大降低被手机病毒攻击的可能。对于安装的手机杀毒软件,要定期更新,最好打开病毒监控器,因为手机病毒还应该以预防为主。