作者:Alexander Gostev, Kaspersky Lab
原文:Mobile Malware Evolution: An Overview, Part 1
发表于:2006年9月29日
2006年6月是具有历史意义的一个月——卡巴斯基实验室获得第一个手机病毒样本已经整整两年了。最初我们还不知道那个病毒是由病毒编写组织29A的成员“Vallez”所写,但现在已经知道了。
第一个样本打开了潘多拉的魔盒。现在,反病毒厂商已经搜集到数百个手机上的木马和蠕虫。Symbian系统的恶意程序最早出现在2004年。这一涓涓细流已经汇集成河,并将成为波涛汹涌的洪流。在今天,我们的反病毒数据库每周都会新增十多个前缀是“SymbOS”的木马。
看起来并没有哪一个手机蠕虫是主流的。最糟糕的是,这些蠕虫正在造成越来越多的危害,而其规模尚无法估计。一年前,我们捕获Cabir(卡波尔)时,唯一知道的是它在另一个国家或城市被检测到。被感染手机的主人随后联系了卡巴斯基实验室,我们与位于莫斯科的卡巴斯基总部的一些员工开始一同分析这些真实的攻击。
与普通网民相比,手机用户的安全意识更低,这应该是蠕虫能够迅速传播的原因。事实上,在相当长一段时间里,用户认为不存在手机病毒,或者认为这个事不需要关心。
然而手机病毒并非存在于其他平行宇宙。它们就在这里、就是现在,在要坐的公交车上,在要去电影院或机场中,你的手机随时都可能遭到攻击。
要使用户像了解计算机病毒那样的了解手机病毒,要走的路还很长……
从Cabir开始……
2004年6月14日,西班牙的著名反病毒厂商VirusBuster(他们与一些病毒作者有密切联系)向newvirus@kaspersky.com发了一封邮件,附件是名为caribe.sis的文件。当时我们还不确定到底要做什么——我们从没见过这种东西。快速分析后,了解到这是Symbian操作系统的应用程序,也是一个包含了其他文件的安装包。通常,病毒分析师分析运行在x86处理器下的可执行文件,而caribe.sis中的文件是ARM程序。ARM是一种广泛用于手机等设备的处理器。起初我们对其机器语言所知甚少,几个钟头后,我们的分析师对其有了一定的了解,这些文件的意图也就清晰了:这是一种通过蓝牙(Bluetooth)在手机上传播的蠕虫。第二天,我们在运行Symbian系统的诺基亚N-Gage手机上进行测试,证实了这个结论。
该蠕虫的作者是Vallez。据我们了解,他居住在法国,当时是病毒编写组织29A的成员。这个组织致力于为非常规操作系统和应用程序创造概念验证型(PoC,Proof-of-Concept)病毒,以此向反病毒厂商和其他病毒作者证明世界上存在全新的、前所未见的攻击方式。在2004年6月,他们希望创建一个智能手机上的恶意程序。作者特意选择了一种非常规的传播方法——很多蠕虫通过电子邮件传播,Internet连接和电子邮件又是智能手机的主要特性,看起来Cabir应该选择相同的传播方式。但是作者选择了蓝牙,这是很关键的一点。
Cabir运行于Symbian之上,后者从当时直到现在都是最主流的手机系统。诺基亚的智能手机都使用Symbian,这奠定了它绝对的领先优势。事实上,Symbian+Nokia可谓是目前标准的智能手机组合。Windows Mobile想从Symbian受众强盗一定的市场份额,还需要相当长一段时间。
Cabie的出现符合计算机病毒发展的规律。一个特定的操作系统或平台被恶意程序选为攻击对象,通常要要满足三个条件:
- 该平台必须流行。Symbian一直是最流行的智能手机平台,全世界有数千万的用户。Cabir的作者称:“Symbian将会成为非常普遍的手机操作系统。今天已经很普遍了,但我认为将来还会更普遍(当然微软也在为进入这一市场而努力)。”
- 必须有文档完善的应用程序开发工具。Cabir的作者称:“Caribe用C++编写,诺基亚提供了开发Symbian操作系统应用程序的完整SDK。”
- 存在漏洞或编码错误。Symbian系统在处理文件和服务的设计上存在一些缺陷。Cabir没有利用这些缺陷,但目前大部分木马都利用了。
Cabir不仅引起反病毒厂商的关注,还迅速引发了其他病毒作者的兴趣。人们迫切期待29A的下一期网络杂志。根据惯例,该组织会在下一期公布蠕虫的源代码。很显然,公布源代码将导致一系列更具危害性的新变种出现,就像脚本小子(script kiddies)获得一些技术后那样。然而,就算没有源代码,一些计算机罪犯也可能由此具备了大规模攻击的能力。
现有手机病毒的种类和家族
2004年秋天,手机病毒开始向三个方向发展。其一是获取经济利益的木马。第一个手机木马是Mosquit.a。它看起来是无害的手机游戏,但在某些时刻会向地址簿中的电话号码发送大量短信,导致用户话费剧增。Mosquit.a不仅是第一个手机木马,还是第一个手机广告件(adware)。
Skuller.a木马出现于2004年11月,其家族是目前手机木马中规模最大的。它第一次利用了Symbian的设计缺陷,通过这些缺陷,任何程序都可以用自己的文件覆盖系统文件,而不会向用户发出提示。Skuller将应用软件的图标替换为骷髅头和腿骨,并删除它们的文件。这样,只要手机重启,就会停止工作。病毒作者们很喜欢这种野蛮的破坏性木马(vandal Trojan)。
Skuller.a
Cabir的三种新变种与Skuller.a同时出现。这些新变种并没有基于最初版本的源码。此时,病毒作者们已经获取到Cabir,其中一些人做了脚本小子的勾当:他们将文件重命名,并将其中的文本替换为自己的。有一个变种在原始安装文件中加入了Skuller,这种杂交产物并没有真正发挥作用:木马已经损毁了手机,蠕虫就没法再传播了。无论如何,这是Cabir第一次被用来携带其他的恶意程序。
2005年开始,手机病毒的种类进一步发展,并在接下来十八个月被病毒作者们采用:
- 通过智能手机的协议和服务来传播的蠕虫
- 利用Symbian设计缺陷将自身安装到系统中的破坏性木马
- 为了获取经济利益的木马
从行为上看虽然种类不多,但实际上手机病毒已经演化出大量不同的形式。卡巴斯基实验室目前已经捕获到31个不同的家族。下表是它们的主要特征:
根据卡巴斯基分类法的手机病毒完整列表(截至2006年8月30日)
| 名称 | 日期 | 操作系统 | 功能 | 使用技术 | 变种数 |
| Worm.SymbOS.Cabir | 2004.6 | Symbian | 通过蓝牙传播 | 蓝牙 | 15 |
| Virus.WinCE.Duts | 2004.7 | Windows CE | 感染文件 | (文件API) | 1 |
| Backdoor.WinCE.Brador | 2004.8 | Windows CE | 提供远程网络访问 | (网络API) | 2 |
| Trojan.SymbOS.Mosquit | 2004.8 | Symbian | 发送短信 | 短信 | 1 |
| Trojan.SymbOS.Skuller | 2004.9 | Symbian | 替换文件、图标、系统程序 | 操作系统漏洞 | 31 |
| Worm.SymbOS.Lasco | 2005.1 | Symbian | 通过蓝牙传播,感染文件 | 蓝牙、文件API | 1 |
| Trojan.SymbOS.Locknut | 2005.2 | Symbian | 安装恶意程序 | 操作系统漏洞 | 2 |
| Trojan.SymbOS.Dampig | 2005.3 | Symbian | 替换系统程序 | 操作系统漏洞 | 1 |
| Worm.SymbOS.ComWar | 2005.3 | Symbian | 通过蓝牙和彩信传播,感染文件 | 蓝牙、彩信、文件API | 7 |
| Trojan.SymbOS.Drever | 2005.3 | Symbian | 替换反病毒程序加载器 | 操作系统漏洞 | 4 |
| Trojan.SymbOS.Fontal | 2005.4 | Symbian | 替换字体文件 | 操作系统漏洞 | 8 |
| Trojan.SymbOS.Hobble | 2005.4 | Symbian | 替换系统程序 | 操作系统漏洞 | 1 |
| Trojan.SymbOS.Appdisabler | 2005.5 | Symbian | 替换系统程序 | 操作系统漏洞 | 6 |
| Trojan.SymbOS.Doombot | 2005.5 | Symbian | 替换系统程序 | 操作系统漏洞 | 17 |
| Trojan.SymbOS.Blankfont | 2005.7 | Symbian | 替换字体文件 | 操作系统漏洞 | 1 |
| Trojan.SymbOS.Skudoo | 2005.8 | Symbian | 安装损坏程序、安装Cabir、Skuller、Doombor | 操作系统漏洞 | 3 |
| Trojan.SymbOS.Singlejump | 2005.8 | Symbian | 禁用系统功能、替换图标 | 操作系统漏洞 | 5 |
| Trojan.SymbOS.Bootton | 2005.8 | Symbian | 安装损坏程序、安装Cabir | 操作系统漏洞 | 2 |
| Trojan.SymbOS.Cardtrap | 2005.9 | Symbian | 删除反病毒程序、替换系统程序、在存储卡中安装Win32恶意代码 | 操作系统漏洞 | 26 |
| Trojan.SymbOS.Cardblock | 2005.10 | Symbian | 阻塞存储卡、删除文件夹 | 操作系统漏洞、文件API | 1 |
| Trojan.SymbOS.Pbstealer | 2005.11 | Symbian | 窃取数据 | 蓝牙、文件API | 5 |
| Trojan-Dropper.SymbOS.Agent | 2005.12 | Symbian | 安装其他恶意程序 | 操作系统漏洞 | 3 |
| Trojan-SMS.J2ME.RedBrowser | 2006.2 | J2ME | 发送短信 | Java、短信 | 2 |
| Worm.MSIL.Cxover | 2006.3 | Windows Mobile/ .NET | 删除文件、将自身拷贝至其他设备 | 文件API、网络API | 1 |
| Worm.SymbOS.StealWar | 2006.3 | Symbian | 窃取数据、通过蓝牙和彩信传播 | 蓝牙、彩信、文件API | 5 |
| Email-Worm.MSIL.Letum | 2006.3 | Windows Mobile/ .NET | 通过电子邮件传播 | 电子邮件、文件API | 3 |
| Trojan-Spy.SymbOS.Flexispy | 2006.4 | Symbian | 窃取数据 | — | 2 |
| Trojan.SymbOS.Rommwar | 2006.4 | Symbian | 替换系统程序 | 操作系统漏洞 | 4 |
| Trojan.SymbOS.Arifat | 2006.4 | Symbian | — | — | 1 |
| Trojan.SymbOS.Romride | 2006.6 | Symbian | 替换系统程序 | 操作系统漏洞 | 8 |
| Worm.SymbOS.Mobler.a | 2006.8 | Symbian | 删除反病毒程序、替换系统程序、通过存储卡传播 | 操作系统漏洞 | 1 |
| 共计31个家族、170个变种 | |||||
已知变种数的增长趋势
已知家族数的增长趋势
简而言之,上表告诉我们“手机病毒能做什么?”:
- 通过蓝牙、彩信传播
- 发送短信
- 感染文件
- 导致对智能手机的远程控制
- 修改、替换图标或系统程序
- 安装“错误的”或不可操作的字体和程序
- 对反病毒程序斗争
- 安装其他恶意程序
- 阻塞(block)存储卡
- 窃取数据
必须承认,手机病毒在荷载方面已经和计算机病毒极其相似了。然而,计算机病毒花了二十年的时间演化至此,手机病毒只用了两年。毫无疑问,手机病毒是恶意代码中发展最快的一类,并且将来还有无限的进化可能。
基础性病毒
从所使用的技术来看,手机病毒和PC病毒的主要不同是,虽然手机病毒家族众多,但只有极少数是真正原创的(truly original)。这种现象与20世纪80年代末期计算机病毒的情况类似。当时,从一些“奠基性的”病毒中衍生出数百种恶意代码,大多数恶意代码都基于三种病毒:Vienna(维也纳)、Stoned(石头)和Jerusalem(耶路撒冷)。在手机病毒中,我认为下列是其他病毒的“祖先”:
- Cabir
- Comwar
- Skuller.gen
Cabir是它自己多个变种的基础,它们的区别仅仅在于文件名和sis安装文件中的内容不同。但是在一些看起来没什么关联性的家族中,例如StealWar、Lasco和Pbstealer,Cabir也起到基础支撑作用。
Lasco
Lasco是第一个这种“新的”家族。除了蠕虫的特性,这个家族的病毒还感染手机内存中的文件。Lasco的发展正好展现了当病毒源代码被公开后会发生什么。一个自称手机病毒专家的巴西人Marcos Velasco获得了Cabir的源码并开始写病毒。在2004年的最后一个礼拜,他将自己写的许多Cabir变种发给了反病毒厂商。它们全被归为了Cabir的变种,并且其中一些完全无法运行。作者并不满意,为了变得出名,他又创造了一个可以感染sis文件的变种。这就是Lasco是如何进入到反病毒数据库之中的。
幸运的是,虽然Velasco将他的代码发布在了个人主页上,感染文件这个点子并没有被其他病毒作者进一步发展。目前还不清楚Cabir是否确实是Lasco的源头。尽管Marcos Velasco宣称他完全独立地编写了所有的代码,但无论是文件的数量,还是这些文件的名字,以及操作原则,Lasco都与Cabir非常相似。可以比较一下这两个蠕虫的主要函数,然后我们就会有自己的结论。
Cabir通过蓝牙传播的函数:
if(WithAddress)
{
WithAddress = 0;
Cancel();
TBTSockAddr btaddr(entry().iAddr);
TBTDevAddr devAddr;
devAddr = btaddr.BTAddr();
TObexBluetoothProtocolInfo obexBTProtoInfo;
obexBTProtoInfo.iTransport.Copy(_L("RFCOMM"));
obexBTProtoInfo.iAddr.SetBTAddr(devAddr);
obexBTProtoInfo.iAddr.SetPort(0x00000009);
obexClient = CObexClient::NewL(obexBTProtoInfo);
if(obexClient)
{
iState = 1;
iStatus = KRequestPending;
Cancel();
obexClient->Connect(iStatus);
SetActive();
}
}
else
{
iState = 3;
User::After(1000000);
}
return 0;
Lasco通过蓝牙传播的函数:
if ( FoundCell )
{
FoundCell = _NOT;
Cancel();
TBTSockAddr addr( entry().iAddr );
TBTDevAddr btAddress;
btAddress = addr.BTAddr();
TObexBluetoothProtocolInfo obexProtocolInfo;
obexProtocolInfo.iTransport.Copy( _L( "RFCOMM" ) );
obexProtocolInfo.iAddr.SetBTAddr( btAddress );
obexProtocolInfo.iAddr.SetPort( 9 );
if ( ( iClient = CObexClient::NewL( obexProtocolInfo ) ) )
{
iStatus = KRequestPending;
BluetoothStatus = _BLUETOOTH_NOT_CONNECTED;
Cancel();
iClient->Connect( iStatus );
SetActive();
}
}
else
{
BluetoothStatus = _BLUETOOTH_CONNECTED;
}
}
Pbstealer
Symbian的第一个间谍木马Pbstealer是Cabir的另一个“后代”。它创建于亚洲,也许是中国,并在一个被黑了的韩国《传奇》网游专题网站中发现。这种分发的方法和恶意的木马本身,充分表明了出于“善意”的Cabir作者是如何为后来恶意代码的开发铺平道路的。
该木马通过蓝牙发送文件的功能来自于Cabir。然而,作者对原始代码作了一个重要的修改。它搜寻手机的地址簿,并将其中的数据通过蓝牙发送给第一个发现的终端设备。其名字Pbstealer就来自于“Phonebook Stealer(地址簿窃贼)”。 当时,一些网络罪犯利用蓝牙协议中的多个漏洞窃取这类信息,例如BlueSnarf。而这个木马极大地增加了其成功的可能性。
除此以外,Cabir还顺其自然地成为其他多种木马的载体,在Skuller、Appdisabler、Locknut、Cardtrap以及其他破坏性木马中,有超过一半的变种包含了Cabir。它被修改为传播整个木马包裹,而不仅仅是传播自身。这种杂交方式导致这些恶意程序的分类变得极其困难。我们会在后面进一步讨论这个问题。
Comwar
手机病毒开发的第二个里程碑是Comwar,它是第一个通过彩信传播的蠕虫。和Cabir 一样,它也能通过蓝牙传播,但主要还是使用彩信。这使得它具有了极高的潜在威胁。蓝牙的操作必须在10到15米的距离内,其他设备只有进入这个范围才有可能被感染。而彩信没有任何边界限制,它甚至可以立即被发送到其他国家。
最初,Cabir的作者考虑过这个想法,但(从29A的理想主义视角来看)选择蓝牙的原因是很显然的:
彩信:要通过搜索电话号码并将蠕虫放到彩信中发送出去,这种传播方法是很容易实现的。但是存在两个问题:
1. 我们不知道发彩信手机是什么型号的,我们也不知道目标手机是否能接收彩信或者运行这个蠕虫;
2. 这种做法将消耗手机的话费。
第二个原因表明Cabir的作者并不希望对用户造成经济上的损失。与此相反,Comwar的作者对此则没有任何良心上的不安。
这种通过彩信发送恶意代码的技术,是它对其他病毒作者最有吸引力的地方,然而,到目前为止,我们也只看到了对原始蠕虫的常规变化,即由一些初级黑客改变文件名以及原始文件中的文本,而没有对Comwar的功能作出任何改变。这是因为Comwar的源代码并没有被公开,以及脚本小子不清楚发送感染彩信的流程。
目前,我们捕获了这个蠕虫的7个修改版本。其中四个包含了“作者签名”:
CommWarrior v1.0b (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.
Comwar.b:
CommWarrior v1.0 (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.
Comwar.c:
CommWarrior Outcast: The dark side of Symbian Force.
CommWarrior v2.0-PRO. Copyright (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it
in it’s original unmodified form.
With best regards from Russia.
Comwar.d:
没有包含任何区分性的文本。彩信内容被替换为了西班牙语。
Comwar.e:
WarriorLand v1.0A (c) 2006 by Leslie
此外,文本中包含了西班牙语。
Comwar.f:
没有包含任何区分性的文本。彩信内容被替换为了西班牙语。
Comwar.g:
CommWarrior Outcast: The Dark Masters of Symbian.
The Dark Side has more power!
CommWarrior v3.0 Copyright (c) 2005-2006 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.
除此以外,.g变种是第一个具有文件感染能力的变种。它在手机内存中搜索其他sis文件,并将自身代码添加过去。因此,在传统的蓝牙和彩信之外,又多了一种传播方法。
应当指出,到目前为止,Comwar还没有产生其他家族那么多数量的变种。前面提到过,这是因为其源代码还没有被公开。和Cabir一样,它被用于承载其他木马程序。完全基于Comwar的新家族只有StealWar这一个。后者是一个组合了Cabir、Comwar和Pbstealer木马的蠕虫。这种组合形式具有高度危险性和广泛传播的能力。
最终,不可避免地,通过彩信传播成为了当前手机病毒最常用的传播手段。将来可能会更加流行,因为Windows Mobile 2003上已经发现了一个严重的彩信处理漏洞,它可以导致一个缓冲区溢出和任意代码执行。Collin Mulliner在2006年8月的DefCon大会上报告了这一漏洞。
在微软发布相关补丁之前,这个漏洞的详细信息不会被披露给公众。但是,缺少信息并不等于说漏洞的危险性就降低了。如果有人写了一个不需要用户交互就自动启动的蠕虫,并将其放到手机内存中,就有可能引发全球性的灾难。
Comwar的.c变种实现了一种可以认为是rootkit的技术,为手机病毒技术的发展又做出了贡献。该蠕虫在进程列表中隐藏自身,在标准的正在运行程序列表里也看不到。Comwar将其进程指定为”system”的来实现这一点。虽然使用其他查看正在运行进程的软件就可以看到它的进程,但这种隐藏方法此前还没有在Symbian的其他病毒中出现过。
彩信漏洞示例(Collin Mulliner, Advanced Attacks Against PocketPC Phones)
Skuller
前面提到过,Skuller是变种数最多的手机木马家族:截至2006年9月1日,我们一共发现了它的31个变种。这并不奇怪,所有这些变种都是Symbian下最原始的恶意程序。任何会使用工具创建sis文件的人,都可以制造出这种类型的木马,而其他的工作已经由Symbian的漏洞完成了:通过这些漏洞,可以覆盖任何文件,包括系统的文件,而当系统遇到不是所期望的文件时(例如已损坏的文件,或者对特定系统版本而言非标准格式的文件)将变得极度不稳定。
所有的Skuller变种都基于两类文件,一类我们称为Skuller.gen,另一类是Skuller与其他类似功能家族(例如Doombot或Skudoo)相比具有区分性的文件:
- 一个与要替换文件同名且扩展名是aif的文件,大小是1601字节。这是一个图标文件,包含了骷髅头图标。该文件还包含了一个字符串:“↑Skulls↑Skulls”;
- 一个与要替换文件同名且扩展名是app的文件,大小是4796字节。这是一个EPOC应用程序,一个“假”文件。
分类的问题
当前手机病毒研究中的一个主要问题是分类,尤其是如何准确标记一个新的样本,根据行为将其归入合适的类别里。主要困难来自于绝大部分新病毒都是混合型的,包含了两个或多个不同类型恶意代码的功能。
卡巴斯基实验室的分类方法具有清晰的结构:
- 行为:表明了恶意代码是什么,做了什么,例如:Email-Worm、Trojan-Downloader、Trojan-Dropper。
- 环境:操作系统或者恶意功能所需的特定应用程序,例如:Win32、MSWord、Linux、VBS。
- 家族名和变种标识(字母)。
在确定家族名和变种号上极少出现问题。有时候选择家族名反而有些困难,这一点将在后面讨论。
有时候识别环境是很困难的。现在大部分手机病毒是Symbian系统的,我们记为SymbOS。但是,用户越来越想知道某个病毒到底在哪个Symbian系列上运行:“某个木马只在Symbian Series 60 SE上运行吗?还是也能攻击Series 80设备?”等等。在我们的计算机病毒分类方法中,使用Win16、Win9x、Win32来区分不同版本的Windows。因此,将来也许会要为Symbian的类别增加一个数字。
判断Symbian的系列还只是最简单的问题。当系统是Windows Mobile时,情况就复杂了。
比如说,有的病毒是针对Windows CE 2003编写的,我们将这种环境命名为WinCE。然而,为Windows Mobile 5.0编写的病毒在Windows CE下是无法工作的。此外,并不是只有Windows CE和Windows Mobile,还有Windows Pocket PC。Mobile和Pocket PC都使用了Windows CE的一些功能,但它们又都有各自的程序和特色。
因此,在现有的分类方法下,很难为恶意代码命一个准确的名字以反映其行为。
此外,很多病毒的功能需要WinCE/Windows Mobile下安装了.NET环境。在这些情况下,我们使用MSIL作为其环境名,这种环境名无法体现出该恶意代码是为移动设备所写的。
迷糊了吧?这还只是冰山的一角。手机病毒最复杂的部分还在于选择其行为。杂交型病毒、跨平台病毒,以及不同反病毒厂商的命名机制,使得这一部分异常地复杂。
看几个例子,就能体会到了。
假设有一个sis文件(本质上是一个打包的安装文件),它包含来自Cabir、Comwar、Pbstealer木马的文件,一些Skuller.gen的文件,以及一些0字节的空文件(Locknut的标志)。如果这还不够,该文件还向手机的存储卡中安装一个Win32病毒(就像Cardtrap木马那样)。
基于现有的分类方法,应该称其为一个Trojan-Dropper。但是,因为安装了Cabir,它会通过蓝牙发送sis文件。这是否意味着它也是一个蠕虫呢?如果是,该怎么称呼它?Cabir?这肯定不行,我们不应该命名为Cabir并给它一个新的变种号,因为这个sis文件中90%的内容并不属于Cabir,将其命名为Cabir只会把用户搞糊涂。
那命名为Skuller、Locknut或者Cardtrap呢?也没有哪个单独的名字是合适的,因为这个新样本是一个混合体。最终,这个sis文件很有可能定性为一个Trojan,并使用我们捕获到的家族中一个已有的名字。这个名字将基于辅助特征来确定,例如是否由相同的作者编写等。
如此复杂的情况在计算机病毒中很少出现,但在手机病毒中是常态。有可能随着破坏性木马逐渐减少,手机病毒的世界会变得更具有结构性。
我们来看另一个例子。假设有一个蠕虫运行于Win32环境。当它在PC上启动后,除了其他行为以外,还在E:\drive下创建一个sis文件。根据约定,Symbian手机通过这个drive来连接PC。该sis文件包含了一些空文件,用于覆盖手机的大量系统程序。该sis文件还包含了这个Win32蠕虫本身,它会拷贝自身到手机存储卡之中,并释放一个autorun.inf文件。一旦被感染手机连接到一台干净的计算机,并从PC上访问其存储卡,蠕虫就可能启动并感染干净的计算机。
这个跨平台病毒的例子可以在两个操作系统下运行:Symbian和Windows。这样的蠕虫是存在的——Mobler。它应该怎么分类呢?
对跨平台病毒,我们使用多重标识。比如Worm.Multi.Mobler?可惜的是,用户无法从中看出它会对Symbian手机产生威胁。我们认为最好的分类方法是将其分为两个组件:win32文件命名为Worm.Win32.Mobler,而sis文件命名为Worm.SymbOS.Mobler。
然而,其他反病毒厂商并没有将sis文件归为Mobler或者一个蠕虫。他们将其称之为Trojan.SymbOS.Cardtrap,因为根据他们的分类方法,任何向存储卡安装Win32恶意程序的病毒都是Cardtrap。但这个病毒并不是安装一个木马,它安装了自身的主要组件,将自身传播到其他操作系统中。因此,反病毒厂商严格的分类准则就像把方形的桌子脚强行塞到圆洞里去一样。最终所有的人都没有得到好处——无论是用户还是反病毒厂商自己。
如果我们一开始就假设大量手机病毒的传播方法和行为会和以前接触到的有本质上的差异,这就意味着需要建立全新的分类来体现这种特点。比如说,Cabir(或者其他通过蓝牙传播的蠕虫)可以被归为Bluetooth-Worm(Mac OS系统的Inqtana蠕虫也可以归入这类)。一个通过彩信传播的蠕虫可以归为MMS-Worm。但如果一个蠕虫既利用蓝牙又利用彩信发送自身呢?这两种传播方法哪种是最重要的?卡巴斯基实验室认为彩信是更主要的传播方法,但是其他反病毒厂商可能不这么认为,他们可能给蓝牙更高的优先级。
反病毒产业在不久的将来就会面临这样的问题,它必须为手机病毒建立一套统一的分类方法。在形势更加严峻之前,在避免PC病毒分类(以及不同厂商完全不同的命名)造成的混乱波及到手机病毒的世界之前,这件事应该尽快完成。可惜的是,在创建PC病毒的统一分类方法上的失败,给未来手机病毒的分类带来了诸多阴霾。
(Claud Xiao翻译。本文的翻译和发表没有得到原文版权所有者的许可,请谨慎转载和使用。)
有联系方式没?交流一下,手机安全,哈
好。我的邮箱是iClaudXiao@gmail.com