手机病毒综合防护平台

1 2 3 项目背景 解决方案 手机病毒分析 目录 1.1项目背景 手机应用的发展 App Store应用程序数量突破 30万大关； Android系统应用软件数量突破10万； 2010年手机应用突飞猛进。 据中国互联网络信息中心报告显示 ，受 3G业务开展的影响，我国手机 网民数量迅速增长，规模已达 2亿 。 随着手机向智能化发展，用户对手机依赖度不断提升，手机已不再仅仅是通讯终端，还包含了许多生活、工作中必备的功能，诸如手机上网、移动IM、手机银行、微博、 LBS、娱乐游戏、电子邮件、移动电视、手机音乐、 GPS服务、移动电子商务、移动搜索等。 Borrell Associates的调查数据显示，全球手机用户每小时下载的应用数量超过 50万款，平均每个智能手机用户拥有 22款手机应用。 由于智能手机本身具有独立的操作系统，像个人电脑一样支持用户自行安装软件、游戏等第三方服务商提供的程序，并具备上网功能，使其比非智能手机更易被病毒利用。 据报道，截至 2010年 11月，新增手机病毒 1513个，累积病毒数量达 2357个。报告预计 2010年手机病毒总数将超过 2500种以上，同比增长193%，累计感染手机 800万部以上。 1.1项目背景 手机病毒的肆虐 2010年以来，先是“手机骷髅”，接着是“短信海盗”、“终极密盗” 、“手机僵尸病毒”等名字都很恐怖的手机病毒， 12月初，名为“给你米” Geinimi的手机后门程序，又在大量手机软件下载网站、论坛中疯狂传播，智能手机似乎一夜之间成了病毒发威的新战场。 随着 3G时代的到来，智能手机将成为病毒肆虐的温床。 1.1项目背景 手机病毒的肆虐 来自业界防病毒公司的数据，截至 2010.10，全球已发现超过1400种恶意软件。 进入 2010年，恶意软件进入空前活跃期，已经形成一条黑色产业链。 手机恶意软件数02004006008001000120014002005 2006 2007 2008 2009 2010(p)1.1项目背景 手机病毒的肆虐 1.1项目背景 手机病毒的主要危害 手机病毒逐渐由恶搞转向牟去经济利益。国家计算机网络应急技术处理协调中心数据显示， 僵尸病毒变种超过 10种 僵尸病毒手机超过 100万 台 手机病毒超过 2100种 感染病毒手机超过 150万 台 今年病毒数量超过前 5年 总和 用户每日损失 200万元 黑色产业链价值 10亿元 通过山寨机内置恶意软件、或传播手机病毒进行“吸费”行为的手机黑色产业链，保守估计每年收入高达 10亿元！ 当前存在恶意扣费行为的“扣费”类手机病毒从去年的 171 个，快速增长到 968个，并已占据 32%的比例，累积感染手机 250万部以上，使得其成为影响用户手机安全的主要威胁。 手机病毒泛滥 恶意“扣费”问题严峻。以“手机僵尸”为代表的资费消耗行为和强制开通 SP增值服务等恶意扣费类手机病毒，以 32%的感染比例成为手机用户面临的最大安全威胁。 1.1项目背景 手机病毒的主要危害 传播方式 1、 www互联网访问 75% 2、彩信、短信 14% 3、其他方式 11% 互联网方式传播手机病毒越来越流行，正逐步取代其他方式 手机病毒威胁将爆炸式增长 1.1项目背景 手机病毒的传播方式 防止病毒通过移动网络进行传播 防止宝贵的通信资源被病毒信息占用 为用户提供绿色的移动通信环境 提高用户满意度，提高服务质量 为 3G发展提供健康的行业环境 提升公司的社会形象 防止手机终端运行故障 防止话费大量丢失 防止影响个人声誉 防止个人信息泄露 1.2项目建设的意义 1 2 3 项目背景 解决方案 手机病毒分析 目录 2.1手机病毒的种类 66% 31% 2% 1% 各手机系统平台手机病毒分布情况 SymbianjavaWindows MobileAndroid2.1手机病毒与操作系统 来自业界防病毒公司的统计数据显示，手机系统平台中， Symbian、 Kjava、 Windows Mobile 病毒占据前三位。 操作系统 Symbian Android Windows Mobile 其他（ iphone，ophone， palm ） 用户数量 最多 发展较快 较少 较少 软件认证 需要 不需要 不需要 需要 软件权限 较高 最高 较高 不高 危险程度 较高 最高 中等 较低 针对移动运营商的“ Hack.sms-flood” 感染过程 新春佳节，用手机给亲朋好友发送祝福，是一种流行时尚， Hack.sms-flood病毒 利用各大门户网站的手机服务漏洞，以短信方式进行恶意破坏。破坏者冒充被 攻击者在网上注册手机短信请求，并注册密码，之后网站将自动向被攻击者发 送密码确认信息，此时破坏者将利用 Hack.sms-flood对此过程进行大量的重复， 用户可能会在短时间内就收到上百封短信垃圾。大量的垃圾将填满手机存储器， 如果短消息的有效期设置过长，则队列中的短消息将难以清除。 病毒危害 导致网站的短信网关拒绝服务，产生大量费用； 导致被攻击用户无法使用手机发送和接收短信。 2.1典型病毒 1 针对移动运营商的“蚊子木马” 感染过程 该病毒隐藏于手机游戏“打蚊子”的破解版中。如果您安装了这 个病毒，那么手机就会秘密得自动在后台给英国、德国、荷兰、 瑞士用户的收费手机号发送短信或者拨某个手机号。 病毒危害 虽然该病毒不会窃取或破坏用户资料，但是它会自动拨号，向所 在地为英国的号码发送大量文本信息，结果导致用户的信息费剧 增，移动运营商通信网络繁忙，服务质量下降。 感染范围 symbian 2.1典型病毒 2 针对移动设备的“ Unavailable病毒” 感染过程 当对方拨电话到来时，本来屏幕上显示的应该是来电者的电话号码， 但却显示“ Unavailable”字样或一些奇异的符号。此时千万不要答复 来电，否则就会染上该种病毒，同时机内所有资讯及设定均将被破 坏 (包括缴费使用电话卡的电话在内 )，一旦发生此情况，可能要换上 一部新的移动电话。 病毒危害 这是一种破坏移动电话的病毒。 2.1典型病毒 3 RUR UJL service 病毒会向外发送 20条左右的短信，内容为：“现免费补发一款五星级 N81游戏，点击网址下载安装http:/nokia.*.com/*.sis”。 点击之后，自动安装三个文件： Ovi Update Ovi Store Installer Ovi Store 1、诱骗点击 3、病毒动作 2、自动安装 2.2案例分析 FC.ThemeInstaller.A 1，只在手机处于锁键盘状态时才会进行联网。 2，上传 IMEI/IMSI给服务器。并通过解析服务器下发的报文，响应服务器的指令，执行相应恶意行为。 3，“ OviStore”执行完任务后会卸载自身。 4，在执行任务期间它会监控手机是否开锁。如果发现手机解锁，“ OviStore”会自动终止任务，并卸载自己。 2.2案例分析 原理 2.2案例分析 危害 1）自动发送短信 后台会发送 20条左右含有毒链接的的短信，进行进一步传播。 2）暗中联网 偷偷联网窃取用户手机中的隐私，导致流量损失。 3）隐私窃取 这些安装的插件将对用户手机信息进行全方位的攻击，全面收集手机隐私信息。 4）无法卸载 为了防止机友手动卸载，病毒具有自我保护机制，并且还会删除相关的安装和通讯记录。 5）开机自启 自动安装“ Ovi Updata”软件包，且这个软件会开机运行。 WAP网站 彩信 手机应用软件带毒 音乐、视频、图片等资源文件带毒 短 信 恶意 URL 恶意 URL，短信病毒 网站挂马 2.3手机病毒来源与危害 彩信附件病毒 其他手段 通过红外、蓝牙自我复制的病毒文件 手机黑屏、死机 手机变慢，待机时间减少 用户个人信息泄露 自动发送大量短、彩信 手机后台自动连接网络 产生大量话费 WAP PUSH 恶意 URL，短信病毒 手机邮件 邮件附件病毒 病毒危害 病毒源头 2.4黑色产业价值链 1 2 3 项目背景 解决方案 手机病毒分析 目录 3.1 建设目标 保护用户合法利益 提高运营商服务器质量 控制病毒的传播 建立完善的病毒发现、阻止和监控机制 病毒制造者 传播渠道控制者 经销渠道 漏洞研究 病毒代码 病毒测试 病毒兜售 入侵移动网关 入侵 SP网站服务器 入侵手机应用软件下载服务器 入侵微博等 web网站 购买病毒 购买传播渠道 病毒捆绑工具 散播病毒 将中毒手机的可用资源变卖赚钱 使用者 利用中毒手机资源，并为此付费 病毒捆绑工具 3.1整体思路 手机病毒产业链分析 病毒制造者 传播渠道控制者 经销渠道 病毒程序 病毒捆绑 散播病毒 用户下载，病毒爆发 将中毒手机的可用资源变卖赚钱 使用者 利用中毒手机资源，并为此付费 传播网站 恶意扣费 用户投诉 最佳拦截位置 3.1整体思路 拦截手机病毒的最佳位置 1、手机病毒传播源头发现 通过基于云计算的手机病毒恶意源分析系统 7*24小时不间断分析互联网上的手机病毒恶意源和传播 url； 2、手机病毒传播阻断 采用在 CMWap、彩信、 CMNet等网关处实时分析手机用户上网访问的URL，阻断带病毒的文件、软件和网页的下载； 3、可疑文件扫描，病毒感染监控 对垃圾彩信进行扫描，发现病毒文件 对垃圾短信中的可疑 url进行分析，发现病毒传播 url，监控感染手机 对不良信息系统的文件进行扫描，发现病毒文件，监控病毒感染情况 4、病毒行为分析，病毒疫情监控 对 cmwap、 cmnet、短信、彩信、邮件网关日志进行数据挖掘分析，发现病毒行为特征，监控病毒爆发情况 对不良信息系统的数据进行挖掘分析，发现病毒行为特征，监控病毒爆发情况 3.2病毒治理措施 可疑网站爬行系统 多引擎扫描系统 病毒样本 结果汇聚 疑似病毒样 本 网站黑名单 带毒文件网址 IP黑名单 可信数据 文件更新识别、文件下载、文件缓存、扫描任务调度 网秦引擎 趋势引擎 360引擎 智能识别引擎 病毒传播源 URL数据 3.2.1手机病毒传播源分析系统 建立手机病毒云安全体系 3.2.2手机病毒阻断系统 3.2.2手机病毒阻断系统工作原理 1、采用高性能 FPGA芯片实现 http、 wap、彩信等手机上网协议的解析 和病毒传播源的匹配功能； 2、从用户发起 http请求发出，到 http响应并返回页面或文件下载完 成，需要数秒 几十秒； 3、病毒阻断设备能够在 0.1秒内完 成 url的检查并发出 Tcp reset包，此 时通信双方的堆栈将会把这个 RESET 包解释为另一端的回应，然后停止 整个通信过程，释放缓冲区并撤销 所有 TCP状态信息。 阻断内容包括： 网站黑名单 URL黑名单 IP黑名单 病毒传播源号码 中毒号码 可疑文件 网秦 趋势 智能识别引擎 360 垃圾彩信系统 垃圾短信系统 不良信息系统 多引擎扫描 手机病毒样本 3.2.3可