手機(jī)病毒綜合防護(hù)平臺(tái)

1 2 3 項(xiàng)目背景 解決方案 手機(jī)病毒分析 目錄 1.1項(xiàng)目背景 手機(jī)應(yīng)用的發(fā)展 App Store應(yīng)用程序數(shù)量突破 30萬(wàn)大關(guān)； Android系統(tǒng)應(yīng)用軟件數(shù)量突破10萬(wàn)； 2010年手機(jī)應(yīng)用突飛猛進(jìn)。 據(jù)中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心報(bào)告顯示 ，受 3G業(yè)務(wù)開(kāi)展的影響，我國(guó)手機(jī) 網(wǎng)民數(shù)量迅速增長(zhǎng)，規(guī)模已達(dá) 2億 。 隨著手機(jī)向智能化發(fā)展，用戶對(duì)手機(jī)依賴度不斷提升，手機(jī)已不再僅僅是通訊終端，還包含了許多生活、工作中必備的功能，諸如手機(jī)上網(wǎng)、移動(dòng)IM、手機(jī)銀行、微博、 LBS、娛樂(lè)游戲、電子郵件、移動(dòng)電視、手機(jī)音樂(lè)、 GPS服務(wù)、移動(dòng)電子商務(wù)、移動(dòng)搜索等。 Borrell Associates的調(diào)查數(shù)據(jù)顯示，全球手機(jī)用戶每小時(shí)下載的應(yīng)用數(shù)量超過(guò) 50萬(wàn)款，平均每個(gè)智能手機(jī)用戶擁有 22款手機(jī)應(yīng)用。 由于智能手機(jī)本身具有獨(dú)立的操作系統(tǒng)，像個(gè)人電腦一樣支持用戶自行安裝軟件、游戲等第三方服務(wù)商提供的程序，并具備上網(wǎng)功能，使其比非智能手機(jī)更易被病毒利用。 據(jù)報(bào)道，截至 2010年 11月，新增手機(jī)病毒 1513個(gè)，累積病毒數(shù)量達(dá) 2357個(gè)。報(bào)告預(yù)計(jì) 2010年手機(jī)病毒總數(shù)將超過(guò) 2500種以上，同比增長(zhǎng)193%，累計(jì)感染手機(jī) 800萬(wàn)部以上。 1.1項(xiàng)目背景 手機(jī)病毒的肆虐 2010年以來(lái)，先是“手機(jī)骷髏”，接著是“短信海盜”、“終極密盜” 、“手機(jī)僵尸病毒”等名字都很恐怖的手機(jī)病毒， 12月初，名為“給你米” Geinimi的手機(jī)后門程序，又在大量手機(jī)軟件下載網(wǎng)站、論壇中瘋狂傳播，智能手機(jī)似乎一夜之間成了病毒發(fā)威的新戰(zhàn)場(chǎng)。 隨著 3G時(shí)代的到來(lái)，智能手機(jī)將成為病毒肆虐的溫床。 1.1項(xiàng)目背景 手機(jī)病毒的肆虐 來(lái)自業(yè)界防病毒公司的數(shù)據(jù)，截至 2010.10，全球已發(fā)現(xiàn)超過(guò)1400種惡意軟件。 進(jìn)入 2010年，惡意軟件進(jìn)入空前活躍期，已經(jīng)形成一條黑色產(chǎn)業(yè)鏈。 手機(jī)惡意軟件數(shù)02004006008001000120014002005 2006 2007 2008 2009 2010(p)1.1項(xiàng)目背景 手機(jī)病毒的肆虐 1.1項(xiàng)目背景 手機(jī)病毒的主要危害 手機(jī)病毒逐漸由惡搞轉(zhuǎn)向牟去經(jīng)濟(jì)利益。國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急技術(shù)處理協(xié)調(diào)中心數(shù)據(jù)顯示， 僵尸病毒變種超過(guò) 10種 僵尸病毒手機(jī)超過(guò) 100萬(wàn) 臺(tái) 手機(jī)病毒超過(guò) 2100種 感染病毒手機(jī)超過(guò) 150萬(wàn) 臺(tái) 今年病毒數(shù)量超過(guò)前 5年 總和 用戶每日損失 200萬(wàn)元 黑色產(chǎn)業(yè)鏈價(jià)值 10億元 通過(guò)山寨機(jī)內(nèi)置惡意軟件、或傳播手機(jī)病毒進(jìn)行“吸費(fèi)”行為的手機(jī)黑色產(chǎn)業(yè)鏈，保守估計(jì)每年收入高達(dá) 10億元！ 當(dāng)前存在惡意扣費(fèi)行為的“扣費(fèi)”類手機(jī)病毒從去年的 171 個(gè)，快速增長(zhǎng)到 968個(gè)，并已占據(jù) 32%的比例，累積感染手機(jī) 250萬(wàn)部以上，使得其成為影響用戶手機(jī)安全的主要威脅。 手機(jī)病毒泛濫 惡意“扣費(fèi)”問(wèn)題嚴(yán)峻。以“手機(jī)僵尸”為代表的資費(fèi)消耗行為和強(qiáng)制開(kāi)通 SP增值服務(wù)等惡意扣費(fèi)類手機(jī)病毒，以 32%的感染比例成為手機(jī)用戶面臨的最大安全威脅。 1.1項(xiàng)目背景 手機(jī)病毒的主要危害 傳播方式 1、 www互聯(lián)網(wǎng)訪問(wèn) 75% 2、彩信、短信 14% 3、其他方式 11% 互聯(lián)網(wǎng)方式傳播手機(jī)病毒越來(lái)越流行，正逐步取代其他方式 手機(jī)病毒威脅將爆炸式增長(zhǎng) 1.1項(xiàng)目背景 手機(jī)病毒的傳播方式 防止病毒通過(guò)移動(dòng)網(wǎng)絡(luò)進(jìn)行傳播 防止寶貴的通信資源被病毒信息占用 為用戶提供綠色的移動(dòng)通信環(huán)境 提高用戶滿意度，提高服務(wù)質(zhì)量 為 3G發(fā)展提供健康的行業(yè)環(huán)境 提升公司的社會(huì)形象 防止手機(jī)終端運(yùn)行故障 防止話費(fèi)大量丟失 防止影響個(gè)人聲譽(yù) 防止個(gè)人信息泄露 1.2項(xiàng)目建設(shè)的意義 1 2 3 項(xiàng)目背景 解決方案 手機(jī)病毒分析 目錄 2.1手機(jī)病毒的種類 66% 31% 2% 1% 各手機(jī)系統(tǒng)平臺(tái)手機(jī)病毒分布情況 SymbianjavaWindows MobileAndroid2.1手機(jī)病毒與操作系統(tǒng) 來(lái)自業(yè)界防病毒公司的統(tǒng)計(jì)數(shù)據(jù)顯示，手機(jī)系統(tǒng)平臺(tái)中， Symbian、 Kjava、 Windows Mobile 病毒占據(jù)前三位。 操作系統(tǒng) Symbian Android Windows Mobile 其他（ iphone，ophone， palm ） 用戶數(shù)量 最多 發(fā)展較快 較少 較少 軟件認(rèn)證 需要 不需要 不需要 需要 軟件權(quán)限 較高 最高 較高 不高 危險(xiǎn)程度 較高 最高 中等 較低 針對(duì)移動(dòng)運(yùn)營(yíng)商的“ Hack.sms-flood” 感染過(guò)程 新春佳節(jié)，用手機(jī)給親朋好友發(fā)送祝福，是一種流行時(shí)尚， Hack.sms-flood病毒 利用各大門戶網(wǎng)站的手機(jī)服務(wù)漏洞，以短信方式進(jìn)行惡意破壞。破壞者冒充被 攻擊者在網(wǎng)上注冊(cè)手機(jī)短信請(qǐng)求，并注冊(cè)密碼，之后網(wǎng)站將自動(dòng)向被攻擊者發(fā) 送密碼確認(rèn)信息，此時(shí)破壞者將利用 Hack.sms-flood對(duì)此過(guò)程進(jìn)行大量的重復(fù)， 用戶可能會(huì)在短時(shí)間內(nèi)就收到上百封短信垃圾。大量的垃圾將填滿手機(jī)存儲(chǔ)器， 如果短消息的有效期設(shè)置過(guò)長(zhǎng)，則隊(duì)列中的短消息將難以清除。 病毒危害 導(dǎo)致網(wǎng)站的短信網(wǎng)關(guān)拒絕服務(wù)，產(chǎn)生大量費(fèi)用； 導(dǎo)致被攻擊用戶無(wú)法使用手機(jī)發(fā)送和接收短信。 2.1典型病毒 1 針對(duì)移動(dòng)運(yùn)營(yíng)商的“蚊子木馬” 感染過(guò)程 該病毒隱藏于手機(jī)游戲“打蚊子”的破解版中。如果您安裝了這 個(gè)病毒，那么手機(jī)就會(huì)秘密得自動(dòng)在后臺(tái)給英國(guó)、德國(guó)、荷蘭、 瑞士用戶的收費(fèi)手機(jī)號(hào)發(fā)送短信或者撥某個(gè)手機(jī)號(hào)。 病毒危害 雖然該病毒不會(huì)竊取或破壞用戶資料，但是它會(huì)自動(dòng)撥號(hào)，向所 在地為英國(guó)的號(hào)碼發(fā)送大量文本信息，結(jié)果導(dǎo)致用戶的信息費(fèi)劇 增，移動(dòng)運(yùn)營(yíng)商通信網(wǎng)絡(luò)繁忙，服務(wù)質(zhì)量下降。 感染范圍 symbian 2.1典型病毒 2 針對(duì)移動(dòng)設(shè)備的“ Unavailable病毒” 感染過(guò)程 當(dāng)對(duì)方撥電話到來(lái)時(shí)，本來(lái)屏幕上顯示的應(yīng)該是來(lái)電者的電話號(hào)碼， 但卻顯示“ Unavailable”字樣或一些奇異的符號(hào)。此時(shí)千萬(wàn)不要答復(fù) 來(lái)電，否則就會(huì)染上該種病毒，同時(shí)機(jī)內(nèi)所有資訊及設(shè)定均將被破 壞 (包括繳費(fèi)使用電話卡的電話在內(nèi) )，一旦發(fā)生此情況，可能要換上 一部新的移動(dòng)電話。 病毒危害 這是一種破壞移動(dòng)電話的病毒。 2.1典型病毒 3 RUR UJL service 病毒會(huì)向外發(fā)送 20條左右的短信，內(nèi)容為：“現(xiàn)免費(fèi)補(bǔ)發(fā)一款五星級(jí) N81游戲，點(diǎn)擊網(wǎng)址下載安裝http:/nokia.*.com/*.sis”。 點(diǎn)擊之后，自動(dòng)安裝三個(gè)文件： Ovi Update Ovi Store Installer Ovi Store 1、誘騙點(diǎn)擊 3、病毒動(dòng)作 2、自動(dòng)安裝 2.2案例分析 FC.ThemeInstaller.A 1，只在手機(jī)處于鎖鍵盤狀態(tài)時(shí)才會(huì)進(jìn)行聯(lián)網(wǎng)。 2，上傳 IMEI/IMSI給服務(wù)器。并通過(guò)解析服務(wù)器下發(fā)的報(bào)文，響應(yīng)服務(wù)器的指令，執(zhí)行相應(yīng)惡意行為。 3，“ OviStore”執(zhí)行完任務(wù)后會(huì)卸載自身。 4，在執(zhí)行任務(wù)期間它會(huì)監(jiān)控手機(jī)是否開(kāi)鎖。如果發(fā)現(xiàn)手機(jī)解鎖，“ OviStore”會(huì)自動(dòng)終止任務(wù)，并卸載自己。 2.2案例分析 原理 2.2案例分析 危害 1）自動(dòng)發(fā)送短信 后臺(tái)會(huì)發(fā)送 20條左右含有毒鏈接的的短信，進(jìn)行進(jìn)一步傳播。 2）暗中聯(lián)網(wǎng) 偷偷聯(lián)網(wǎng)竊取用戶手機(jī)中的隱私，導(dǎo)致流量損失。 3）隱私竊取 這些安裝的插件將對(duì)用戶手機(jī)信息進(jìn)行全方位的攻擊，全面收集手機(jī)隱私信息。 4）無(wú)法卸載 為了防止機(jī)友手動(dòng)卸載，病毒具有自我保護(hù)機(jī)制，并且還會(huì)刪除相關(guān)的安裝和通訊記錄。 5）開(kāi)機(jī)自啟 自動(dòng)安裝“ Ovi Updata”軟件包，且這個(gè)軟件會(huì)開(kāi)機(jī)運(yùn)行。 WAP網(wǎng)站 彩信 手機(jī)應(yīng)用軟件帶毒 音樂(lè)、視頻、圖片等資源文件帶毒 短 信 惡意 URL 惡意 URL，短信病毒 網(wǎng)站掛馬 2.3手機(jī)病毒來(lái)源與危害 彩信附件病毒 其他手段 通過(guò)紅外、藍(lán)牙自我復(fù)制的病毒文件 手機(jī)黑屏、死機(jī) 手機(jī)變慢，待機(jī)時(shí)間減少 用戶個(gè)人信息泄露 自動(dòng)發(fā)送大量短、彩信 手機(jī)后臺(tái)自動(dòng)連接網(wǎng)絡(luò) 產(chǎn)生大量話費(fèi) WAP PUSH 惡意 URL，短信病毒 手機(jī)郵件 郵件附件病毒 病毒危害 病毒源頭 2.4黑色產(chǎn)業(yè)價(jià)值鏈 1 2 3 項(xiàng)目背景 解決方案 手機(jī)病毒分析 目錄 3.1 建設(shè)目標(biāo) 保護(hù)用戶合法利益 提高運(yùn)營(yíng)商服務(wù)器質(zhì)量 控制病毒的傳播 建立完善的病毒發(fā)現(xiàn)、阻止和監(jiān)控機(jī)制 病毒制造者 傳播渠道控制者 經(jīng)銷渠道 漏洞研究 病毒代碼 病毒測(cè)試 病毒兜售 入侵移動(dòng)網(wǎng)關(guān) 入侵 SP網(wǎng)站服務(wù)器 入侵手機(jī)應(yīng)用軟件下載服務(wù)器 入侵微博等 web網(wǎng)站 購(gòu)買病毒 購(gòu)買傳播渠道 病毒捆綁工具 散播病毒 將中毒手機(jī)的可用資源變賣賺錢 使用者 利用中毒手機(jī)資源，并為此付費(fèi) 病毒捆綁工具 3.1整體思路 手機(jī)病毒產(chǎn)業(yè)鏈分析 病毒制造者 傳播渠道控制者 經(jīng)銷渠道 病毒程序 病毒捆綁 散播病毒 用戶下載，病毒爆發(fā) 將中毒手機(jī)的可用資源變賣賺錢 使用者 利用中毒手機(jī)資源，并為此付費(fèi) 傳播網(wǎng)站 惡意扣費(fèi) 用戶投訴 最佳攔截位置 3.1整體思路 攔截手機(jī)病毒的最佳位置 1、手機(jī)病毒傳播源頭發(fā)現(xiàn) 通過(guò)基于云計(jì)算的手機(jī)病毒惡意源分析系統(tǒng) 7*24小時(shí)不間斷分析互聯(lián)網(wǎng)上的手機(jī)病毒惡意源和傳播 url； 2、手機(jī)病毒傳播阻斷 采用在 CMWap、彩信、 CMNet等網(wǎng)關(guān)處實(shí)時(shí)分析手機(jī)用戶上網(wǎng)訪問(wèn)的URL，阻斷帶病毒的文件、軟件和網(wǎng)頁(yè)的下載； 3、可疑文件掃描，病毒感染監(jiān)控 對(duì)垃圾彩信進(jìn)行掃描，發(fā)現(xiàn)病毒文件 對(duì)垃圾短信中的可疑 url進(jìn)行分析，發(fā)現(xiàn)病毒傳播 url，監(jiān)控感染手機(jī) 對(duì)不良信息系統(tǒng)的文件進(jìn)行掃描，發(fā)現(xiàn)病毒文件，監(jiān)控病毒感染情況 4、病毒行為分析，病毒疫情監(jiān)控 對(duì) cmwap、 cmnet、短信、彩信、郵件網(wǎng)關(guān)日志進(jìn)行數(shù)據(jù)挖掘分析，發(fā)現(xiàn)病毒行為特征，監(jiān)控病毒爆發(fā)情況 對(duì)不良信息系統(tǒng)的數(shù)據(jù)進(jìn)行挖掘分析，發(fā)現(xiàn)病毒行為特征，監(jiān)控病毒爆發(fā)情況 3.2病毒治理措施 可疑網(wǎng)站爬行系統(tǒng) 多引擎掃描系統(tǒng) 病毒樣本 結(jié)果匯聚 疑似病毒樣 本 網(wǎng)站黑名單 帶毒文件網(wǎng)址 IP黑名單 可信數(shù)據(jù) 文件更新識(shí)別、文件下載、文件緩存、掃描任務(wù)調(diào)度 網(wǎng)秦引擎 趨勢(shì)引擎 360引擎 智能識(shí)別引擎 病毒傳播源 URL數(shù)據(jù) 3.2.1手機(jī)病毒傳播源分析系統(tǒng) 建立手機(jī)病毒云安全體系 3.2.2手機(jī)病毒阻斷系統(tǒng) 3.2.2手機(jī)病毒阻斷系統(tǒng)工作原理 1、采用高性能 FPGA芯片實(shí)現(xiàn) http、 wap、彩信等手機(jī)上網(wǎng)協(xié)議的解析 和病毒傳播源的匹配功能； 2、從用戶發(fā)起 http請(qǐng)求發(fā)出，到 http響應(yīng)并返回頁(yè)面或文件下載完 成，需要數(shù)秒 幾十秒； 3、病毒阻斷設(shè)備能夠在 0.1秒內(nèi)完 成 url的檢查并發(fā)出 Tcp reset包，此 時(shí)通信雙方的堆棧將會(huì)把這個(gè) RESET 包解釋為另一端的回應(yīng)，然后停止 整個(gè)通信過(guò)程，釋放緩沖區(qū)并撤銷 所有 TCP狀態(tài)信息。 阻斷內(nèi)容包括： 網(wǎng)站黑名單 URL黑名單 IP黑名單 病毒傳播源號(hào)碼 中毒號(hào)碼 可疑文件 網(wǎng)秦 趨勢(shì) 智能識(shí)別引擎 360 垃圾彩信系統(tǒng) 垃圾短信系統(tǒng) 不良信息系統(tǒng) 多引擎掃描 手機(jī)病毒樣本 3.2.3可