2006年手机病毒及手机杀毒软件评测报告
微软手持操作系统解疑
由于微软在手持设备领域发展过多个操作系统版本,这个微型指南将帮助大家理清思路。WinCE是较早出现在市场上的通用手持操作系统,该系统不针对特定设备,在掌上电脑、工业控制甚至个人电脑上都可以应用。PocketPC是微软专为掌上电脑设计的操作系统,是WinCE平台最主要的扩展之一,另一个主要的WinCE扩展是运行于智能手机的Smartphone。WinCE平台从4.0之后增加了.NET支持,也即WinCE .NET版本,在PocketPC 2003中也加入了同样的.NET精简版框架。曾有一个时期微软同时开发多个系列的手持设备操作系统,这为消费者和开发人员造成了不少混乱,后来微软将这些系统整合成了Windows Mobile产品家族。
Symbian
尽管目前对掌上电脑并没有进行过多的投入,但是基于在智能手机领域超过半数的市场占有率,Symbian得以成为手持设备领域应用最普遍的操作系统之一。以目前诺基亚和索尼爱立信等大厂对Symbian的支持以及近年来Symbian的技术演变,这个操作系统很可能会在未来的PDA领域也获得不小的影响。事实上目前发现的手持设备病毒中有相当大的一部分都是针对Symbian S60操作系统的,这是出货量很高的一种Symbian中低端智能手机操作系统。
虽然早在2000年左右就出现了通过WAP网络传播的手机病毒,但是这些病毒通常只造成恶意信息的传送,而且并不是手机与手机之间的传播感染。由于没有操作系统的支持,在传统的手机上很难运行复杂的代码,所以真正的手机病毒在智能手机日渐普及的今天才显示出其深远的影响。最早走入人们视线的智能手机病毒当数Cabir,这个病毒最早与2004年中被发现,至今已经发展出十几个变种。最早版本的Cabir.a是一种通过手机的蓝牙连接进行传播的蠕虫病毒,其副本将被安装在\system\apps\caribe\目录下,感染了该病毒的手机会自动发现蓝牙连接并试图进行传播。通常该族群的病毒会被发送到目标手机的收件箱中,点击收到的消息会出现一系列的提示框,不选择进行安装则该病毒并不会进行实际的感染动作。从这一点可以看出Cabir并不是以大量传播为目的的病毒,或者说其并不具有恶意。在Cabir之后还出现过名为Lasco的改进版Cabir,Lasco与Cabir一样通过蓝牙传播,但是它同样能够潜伏在系统中并伺机通过存储卡、通信线缆等数据交换方式感染其它手机。今年出还发现了一种名为CommWarrior的通过蓝牙传播的病毒,不过该病毒已经增加了一种稍具恶意的行为,那就是尝试向手机中的联系人发送彩信,这可能会浪费手机使用者的很多金钱。另外该病毒在传播中会随机的对自己进行命名,这意味着该病毒较Cabir和Lasco更具隐蔽性。Skulls病毒自从2004年11月被发现为止已经出现了超过20个变种,这是最早出现的对手机功能造成影响的病毒之一。该病毒伪装成手机的应用程序,一旦被安装就会将所有的应用程序图标替换成骷髅的样式,这些图标将不再链接到实际的应用程序从而是手机除拨打电话之外的所有功能失效。Skulls不再象Cabir那样只感染特定型号的手机,所有使用Symbian操作系统的手机都可能受到感染。另外,Fontal病毒同样能够破坏手机的机能,通过将手机中的字体替换为无效的字体可以造成操作系统无法正常启动。在感染了Skulls和Fontal这类恶性病毒之后应注意不要重启手机,而是尝试手动执行清除工作,大部分反病毒厂商的网站上都提供了手动清除这些病毒的方法。
以上只是Symbian平台所有流行病毒的一部分,还有很多颇具破坏力的病毒没有在此进行说明。基于移动电话的高普及率,Symbian已经成为手持设备平台发现病毒最多的操作系统。而随着智能手机与PDA等手持设备的不断融合,未来的手机平台可能成为继PC平台之后最大的病毒传播载体。
最具破坏力的智能手机病毒现身
2005年7月,模拟Symbian版Doom 2程序的Doomboot病毒被发现,该病毒综合了之前大部分智能手机病毒的特性。Doomboot的一些变种与CommWarrior进行了整合,并包含了Fontal替换字体的功能。而且与之前的智能手机病毒不同的是,Doomboot想尽一切方法隐藏自己,对于一般用户来说很难发现它的存在。在不久前发现的最新Doomboot变种可能破坏手机中的所有信息并使手机无法启动。Doomboot的出现标志着智能手机用户将开始真正面对病毒的破坏性威胁。
| 手持设备平台病毒数量 | |||
|
手持设备操作系统平台 |
Palm | Windows Mobile | Symbian |
|
病毒数量 |
4 | 80 | 230 |
二.防范篇
首要的问题是“认知”
兵法有云:“知己知彼,百战不殆”,对自己的敌人有何种程度的认识将在很大程度上决定战斗的结果。认知的第一个目标是“认”,这主要是指要拥有对手持设备病毒问题的正确态度,过激或者过缓的态度都不利于应对和防范手持设备病毒。如果轻视手持设备病毒的影响,很可能会带来严重的信息资产损失;而如果过分的强调手持设备病毒的风险,又会阻碍正常的手持设备应用。事实上,目前不应该对手持设备病毒草木皆兵。尽管这类病毒已经较前几年有了很大的发展,但是由于手持设备的联网环境并不是特别成熟,而且手持设备的系统平台和设备型号非常复杂,所以手持设备病毒暂时还不会象PC平台上的网络蠕虫那样在全球范围快速传播。只要正确的认识这类病毒可能造成的风险,是可以做到成功防范的,这也引出了认知的第二个目标“知”,这个目标是指拥有手持设备病毒领域的足够知识。知识通常可以划分为两个部分,首先是关于手持设备病毒的知识,丰富的知识可以帮助使用者更好的完成抵御手持设备病毒的工作。除了有关手持设备病毒本身的知识之外,充分了解自己使用的设备和设备具有的弱点、问题往往更加重要。尽管现在利用手持设备系统本身的弱点进行传播感染的病毒并没有占据主流地位,但是PC平台的病毒发展史很可能就是手持设备病毒的未来。在不具备系统弱点的手持设备上病毒往往要更多的依赖带有欺骗性的社交工程手段进行传播。而如果有可供利用的漏洞,手持设备病毒会获得隐蔽而高效的传播能力,其影响能力将远超现在。
掐断传播的源头
阻断病毒传播要注意控制所有可能的传播途径,将系统的所有门窗保护好就可以有效的抑制病毒的侵入。目前手持设备交换数据的主要方式包括数据线、存储卡、红外线、蓝牙和Wi-Fi等等。其中数据线、红外线和存储卡基本都属于非无线传输,尽管红外线可以在不接触设备的情况下传输,但是也必须在极近的距离才能完成。对于这些数据交换方式来说,需要注意的问题主要是数据来源的可信性。从手持设备病毒的介绍性内容中我们已经看到很多病毒都需要引诱用户下载才能被传送到目标设备中,所以注意验证文件下载源的可信性是非常重要的。虽然通过非无线连接也可能无需用户参与可隐密的对设备进行感染,但是这种风险对无线连接更具影响。蓝牙连接已经成为了手持设备的标准配置,而Wi-Fi连接也被应用到很多高端的手持设备当中,事实上几乎所有的PDA产品和不少型号的智能手机产品都可以通过扩展卡支持802.11协议族的Wi-Fi无线传输。蓝牙功能目前较多的被应用于手持设备的数据管理,例如与PC进行数据同步以及与其它蓝牙手持设备进行联系人信息交换。一个基本的建议是只在需要执行这些工作的时候才开启蓝牙连接,而在平时应该将蓝牙连接关闭。由于用户在连接企业网络、互联网服务的时候需要更长时间的Wi-Fi连接,所以在Wi-Fi设备上执行这个建议可能要相对困难一些。其实在不使用的情况下关闭无线连接有一个最直接的好处,那就是设备的电力节省。另外,蓝牙和Wi-Fi都有一些安全保护措施可用,尽量严格的限制这些无线连接可以有效的防范病毒在未授权的情况下进入手持设备。蓝牙可以设置用于连接认证的PIN码,这个PIN码应该尽量强壮,设置成4位数字的PIN码被破解的可能性很大;而Wi-Fi也可以通过设置更复杂的访问密码来执行更高强度的保护。使用者应该注意自己的Wi-Fi是否支持WPA标准,这是一种通过软件实现的安全机制;相对于最早的WEP加密,WPA提供更强大的加密和认证机制,由于使用动态密钥,所以猜解WPA密码是非常困难的。有很多手持设备供应商提供升级软件以使相对较旧的手持设备支持WPA标准,在需要更高安全性的时候应该考虑进行升级。提到数据交换,一个容易被忽视的问题是每个用户都有可能是病毒传播的源头。在注意防止病毒被加载到自己设备的同时,用户也要注意监管好自己设备的情况,不要让自己设备上的恶意软件传播到其它设备上去。
安全策略的重要性
也许绝大多数人都会认为安全策略这个词是企业用户专有的,这样说未尝不可,但是个人用户同样应该制订自己的安全策略,更贴切地,我们将这称之为“使用守则”。安全策略包含的内容指导我们如何使用手持设备、需要遵循哪些规范、在遇到特定问题时应该如何处理。在拥有了安全策略之后就避免了随意性和无目的性,而我们知道随意性和无目的性是造成安全问题的主要因素之一。尽管安全策略会在很大程度上抵消可移动计算设备为我们带来的便利性,但是包含了重要信息的手持设备来说是非常值得的。而且,针对设备中数据的实际价值,可以制订严谨程度与之相适应的安全策略。
这里提供了是一个安全策略的可应用版本,这个策略中的绝大部分内容都有助于应对手持设备病毒问题,同时也提供较高的手持设备整体安全性。该策略内容针对Windows Mobile系统的PDA,如果读者使用其它类型的设备,可以修改和扩展该策略供自己使用,也可基于此内容修订出专门针对病毒问题的版本。
