手機病毒防治模式分析

常玲, 吳興耀, 杜雪濤, 李友國

（1 中國移動通信集團設(shè)計院有限公司，北京 100080；2 中國移動通信集團公司, 北京 100032）

1 引言

隨著移動通信產(chǎn)業(yè)的高速發(fā)展，中國手機用戶迅速增加。而近幾年由于3G時代的來臨，智能手機的應(yīng)用也逐漸普及，智能手機類似一部小型電腦，可以瀏覽網(wǎng)頁、下載軟件等，于是手機病毒便通過互聯(lián)網(wǎng)業(yè)務(wù)、彩信、短信、藍牙等多種途徑傳播并且日益泛濫，據(jù)專業(yè)手機殺毒廠商統(tǒng)計，2010年新發(fā)現(xiàn)手機病毒種類超過歷史總和，2011年發(fā)展勢頭迅猛。如果不盡快采取有效防范措施，手機病毒產(chǎn)生的沖擊將會越來越強，給通信產(chǎn)業(yè)甚至整個社會帶來危害。

2 手機病毒簡介

2.1 手機病毒定義

目前國內(nèi)沒有對手機病毒進行明確定義，國家針對計算機病毒定義如下：

計算機病毒是指編制或者在計算機程序中插入的破壞計算機功能或者毀壞數(shù)據(jù),影響計算機使用，并能自我復(fù)制的一組計算機指令或者程序代碼，就像生物病毒一樣，計算機病毒有獨特的復(fù)制傳染能力。由此可見，傳染性是計算機病毒最重要的特征,是判斷一段程序代碼是否為計算機病毒的依據(jù)。

由于手機病毒運行在智能手機中，也相當于是運行在“小型計算機”上的程序，因此可以借鑒計算機病毒的定義對它進行定義和判斷。手機病毒是指編制或者在手機程序中插入的破壞手機功能或者毀壞數(shù)據(jù), 影響手機使用，并能自我傳染的一組手機指令或者程序代碼。

2.2 手機病毒的特點

傳染性：當一段手機代碼或程序具備自我傳播感染性則為手機病毒。傳染性手機病毒的傳播途徑有網(wǎng)絡(luò)下載、存儲卡、惡意鏈接、彩信、藍牙等。例如“短信海盜”病毒通過彩信自傳播，被感染的手機會通過彩信不斷向通信錄中的號碼發(fā)送彩信，彩信內(nèi)容通常是本人的短信內(nèi)容和病毒鏈接，當用戶點擊鏈接并安裝后就會被感染并向下一用戶不斷傳播。

非授權(quán)性：當一段手機代碼或程序在未明確提示用戶或未經(jīng)用戶許可下發(fā)生惡意行為，均為手機病毒。未經(jīng)授權(quán)的惡意行為包括惡意扣費、資費消耗、瀏覽器劫持、系統(tǒng)破壞（包括破壞系統(tǒng)功能、消耗系統(tǒng)資源、制造系統(tǒng)垃圾、破壞常用軟件功能等）、內(nèi)置后門軟件等。例如惡意扣費軟件、臥底軟件等。

控制性：若一段手機代碼或程序具備外部主控端，則為手機病毒。外部主控端對被感染手機的控制命令有刪除、升級、發(fā)送短信等。例如毒媒、垃圾短信發(fā)送者等。

針對性：一種手機病毒并不能感染所有的系統(tǒng)軟件或者應(yīng)用程序，其攻擊方式具有較強的針對性。

隱蔽性和可觸發(fā)性：有些手機病毒在感染用戶手機后并不立即發(fā)作，而是隱匿于系統(tǒng)中，或者經(jīng)過偽裝的病毒程序還可能被用戶當作正常的程序而運行，只有在滿足其特定條件時才能夠被激活，并且具有傳染性和破壞能力。

2.3 手機病毒的危害

由于人們在日常生活中對手機的依賴和缺乏對手機病毒的足夠重視和防范措施，手機病毒影響范圍日益擴大，給用戶和運營商都造成極大的危害。

對用戶而言，危害主要表現(xiàn)在個人信息泄密、經(jīng)濟損失和影響用戶手機正常使用等方面。（1）某些手機病毒感染用戶手機后可能會竊取包括通信錄、短信、郵件、日常安排、各種網(wǎng)絡(luò)賬號、銀行賬戶密碼等，這些信息如果被別有用心者竊取，將會對用戶造成不可估量的損失。例如短信海盜、X臥底等病毒竊取短信記錄；（2）某些手機病毒感染手機后，通過短信、彩信進行病毒傳播，消耗大量通信費用。例如“手機骷髏”病毒大量發(fā)送彩信，一般造成的資費損失都在200元以上。更有甚者，某些手機病毒可以在用戶對手機沒有任何操作的情況下，悄悄撥打國際長途或高額的付費電話，讓用戶承受較大的經(jīng)濟損失。（3）某些手機病毒會直接損害用戶手機軟硬件，造成手機不能正常工作，影響人們的日常生活。例如某些手機病毒可能侵占手機內(nèi)存或者修改手機系統(tǒng)設(shè)置，某些病毒通過帶有病毒程序的短信傳播，只要用戶查看帶有病毒的短信，手機就立刻自動關(guān)機。

對運行商而言，手機病毒使網(wǎng)絡(luò)資源被大量浪費，引起業(yè)務(wù)質(zhì)量下降，造成用戶網(wǎng)絡(luò)感知差，影響企業(yè)品牌。如果手機病毒感染手機后，強制手機不斷地向其所在通信網(wǎng)絡(luò)發(fā)送垃圾信息，大量受感染的手機發(fā)送的垃圾信息就會形成大量的數(shù)據(jù)，勢必導(dǎo)致通信網(wǎng)絡(luò)信息堵塞和局部的手機無線分組網(wǎng)絡(luò)資源受損，影響業(yè)務(wù)質(zhì)量和用戶感知。

目前手機病毒的黑色產(chǎn)業(yè)鏈正在逐步形成，不法的服務(wù)提供商與部分山寨機廠商合作，內(nèi)置后門，強制用戶訂購業(yè)務(wù)或者盜取用戶信息，垃圾廣告商與手機病毒編寫者勾結(jié)，利用被控終端傳播廣告，而手機病毒編寫者又為不法的服務(wù)提供商、部分山寨機廠商提供軟件工具，因此手機病毒防治工作已經(jīng)勢在必行。

3 手機病毒網(wǎng)絡(luò)側(cè)防治方案

3.1 手機病毒網(wǎng)絡(luò)側(cè)整治目標

目前手機病毒傳播的主要方式有兩種，一是誘騙用戶點擊手機病毒下載鏈接，使用戶手機感染。另一種是通過彩信及郵件的附件進行傳播，利用了彩信、郵件的業(yè)務(wù)特性。因此在PS域內(nèi)有兩個整治目標就是對指向手機病毒的URL、IP地址的請求進行攔截和對彩信、郵件中所含附件進行查殺，同時在CS域內(nèi)控制包含手機病毒鏈接的短信傳播。

針對以上的目標可以分別制定防治方案，例如彩信中心安裝防病毒模塊方案或者垃圾短信攔截系統(tǒng)控制惡意URL傳播方案。以上方案僅能解決通過彩信或者短信傳播的手機病毒，不能根本改善手機病毒的傳播現(xiàn)狀，但是可以作為補充方案。

目前移動網(wǎng)絡(luò)現(xiàn)有系統(tǒng)的數(shù)據(jù)采集功能強大，可以有若干個數(shù)據(jù)采集點，例如Gn口或者Gi口的分光數(shù)據(jù)，各個業(yè)務(wù)系統(tǒng)采集到的各種數(shù)據(jù)來源，包括彩信、短信、GPRS、WAP、手機郵箱、用戶終端信息、不良信息監(jiān)測系統(tǒng)數(shù)據(jù)、垃圾短信監(jiān)測系統(tǒng)數(shù)據(jù)等。對采集到的海量數(shù)據(jù)，可以對其進行分析、過濾，檢測手機病毒傳播情況，并對檢測到的手機病毒進行封堵查殺。如何對采集到的數(shù)據(jù)進行分析檢測，有兩種方法：基于用戶行為分析和基于病毒特征檢測，詳細介紹請見3.2節(jié)和3.3節(jié)。

因此，目前手機病毒網(wǎng)絡(luò)側(cè)防治方案可以分為三種類型：單純基于用戶行為分析、單純基于病毒特征檢測和基于用戶行為和病毒特征檢測相結(jié)合。

3.2 用戶行為分析法

用戶行為分析法已經(jīng)在互聯(lián)網(wǎng)業(yè)務(wù)中廣泛應(yīng)用。互聯(lián)網(wǎng)用戶行為分析，是指在獲得網(wǎng)站訪問量基本數(shù)據(jù)的情況下，對有關(guān)數(shù)據(jù)進行統(tǒng)計、分析，從中發(fā)現(xiàn)用戶訪問網(wǎng)站的規(guī)律，并將這些規(guī)律與網(wǎng)絡(luò)營銷策略等相結(jié)合，從而發(fā)現(xiàn)目前網(wǎng)絡(luò)營銷活動中可能存在的問題，并為進一步修正或重新制定網(wǎng)絡(luò)營銷策略提供依據(jù)。

互聯(lián)網(wǎng)用戶行為分析是指發(fā)現(xiàn)用戶使用網(wǎng)絡(luò)資源所呈現(xiàn)的規(guī)律，當將此種分析方法應(yīng)用到移動網(wǎng)絡(luò)的手機病毒防治工作中時，行為分析法的基礎(chǔ)就是手機病毒軟件行為，如非法訂購、信息泄露等都具有共性行為特征。移動網(wǎng)絡(luò)現(xiàn)有系統(tǒng)的數(shù)據(jù)采集功能強大，可以為二次數(shù)據(jù)挖掘提供支撐，例如Gn口的分光數(shù)據(jù)或者通過接口方式從各個業(yè)務(wù)系統(tǒng)采集到的各種數(shù)據(jù)來源。從采集到的數(shù)據(jù)中可以提取到的樣本舉例如下：（1）同類行為用戶超過門限數(shù)值；（2）播的同個手機可執(zhí)行文件數(shù)量超過門限數(shù)值；（3）上網(wǎng)數(shù)據(jù)包包含異常特征字等等。從采集數(shù)據(jù)中得到的用戶信息可以用于分析感染手機病毒的受害用戶行為，得到的手機病毒URL可以獲得手機病毒樣本，用于研判工作。

手機病毒防治方案中的行為分析主體是由于手機病毒導(dǎo)致的異常用戶行為，因此在實際應(yīng)用中可以通過手機病毒典型案例研究總結(jié)出各種異常用戶行為，形成特征庫。之后對網(wǎng)絡(luò)上采集到的相關(guān)數(shù)據(jù)根據(jù)特征庫進行掃描，檢測出網(wǎng)絡(luò)上手機病毒的蔓延情況。

3.3 病毒體特征檢測法

病毒體特征檢測法的原理是對已掌握的手機病毒建立手機病毒特征庫，對網(wǎng)絡(luò)上傳送的文件或者數(shù)據(jù)流根據(jù)特征庫進行全量、快速掃描，檢測出網(wǎng)絡(luò)上手機病毒的蔓延情況。

此種方法中需要對采集到的數(shù)據(jù)進行深度通信報文解析，以便提取出手機病毒有效特征與特征庫相比對。其中深度通信報文解析涉及到DPI技術(shù)，主要是利用DPI分析技術(shù)，從二進制流內(nèi)重組數(shù)據(jù)，并針對應(yīng)用層協(xié)議解碼進行深度檢測。

病毒體特征檢測法在現(xiàn)網(wǎng)中已有成功案例，例如“彩信病毒Commwarrior”的追查。首先通過彩信中心分離出彩信體中的附件文件，篩選出手機支持的特殊格式文件，然后對相關(guān)附件通過病毒特征庫進行掃描，偵測出彩信病Commwarrior 蔓延情況。

3.4 用戶行為分析法和病毒特征檢測法對比分析

手機病毒網(wǎng)絡(luò)側(cè)防治方案中的兩種分析方法，用戶行為分析法和病毒體特征檢測法的對比分析如下：

（1）在三種形式病毒的發(fā)現(xiàn)能力方面，用戶行為分析法優(yōu)于病毒體特征檢測法。用戶行為分析法對感染手機病毒用戶的異常行為進行分析，發(fā)現(xiàn)手機病毒感染情況，這種實現(xiàn)原理可以發(fā)現(xiàn)所以形式的手機病毒，包括病毒式、木馬式和廠家內(nèi)置后門式。而病毒體特征檢測法主要由采集的海量數(shù)據(jù)中惡意URL下載手機病毒體對其進行分析研判，找出病毒特征碼，這種實現(xiàn)原理不能發(fā)現(xiàn)廠家的內(nèi)置后門。

（2）在已知未知病毒的發(fā)現(xiàn)能力方面，用戶行為分析法優(yōu)于病毒體特征檢測法。用戶行為分析法對感染手機病毒用戶的異常行為進行分析，不同的手機病毒其感染用戶的異常行為具有共同性，只要用戶異常行為特征庫中有此特征，即使該病毒是最新出現(xiàn)在移動網(wǎng)絡(luò)中的病毒，也可以被發(fā)現(xiàn)。而病毒體特征檢測法的病毒特征庫中保存的病毒特征碼則是在提取到病毒樣本，并對其進行分析研判后才能得到。因此對剛開始蔓延的未知病毒不具備檢測條件，只能被動等待通過投訴發(fā)現(xiàn)并分析。

（3）在外部病毒特征庫依賴程度方面，病毒體特征檢測法對外部病毒特征庫的依賴程度要遠高于用戶行為分析法。因為在新型手機病毒層出不窮的情況下，外部安全公司難以快于運營商獲取病毒的行為特征。然而在病毒體特征檢測法中，完全依靠現(xiàn)網(wǎng)監(jiān)測很難及時發(fā)現(xiàn)所有手機病毒，需要外部安全公司提供的手機病毒庫進行必要的補充。

（4）在外部病毒特征庫的借助程度方面，病毒體特征檢測法優(yōu)于用戶行為分析法。因為借助外部病毒特征庫資源，病毒體特征檢測法可以快速檢測現(xiàn)網(wǎng)病毒的蔓延情況。而用戶行為分析法則需要首先對感染手機病毒用戶的異常行為進行分析，建立用戶異常行為特征庫。

（5）在特征庫的實時性方面，用戶行為分析法優(yōu)于病毒體特征檢測法。用戶行為分析法在確定某種異常用戶行為是由于某種手機病毒導(dǎo)致后便可將其加入到用戶異常行為特征庫中。而病毒體特征檢測法即使提取到病毒樣本后，還需對其進行分析研判，提取特征碼后將其加入到病毒特征庫中，整個過程需要耗費較多時間。若對病毒研判能力較弱，對外部安全公司提供特征庫的依賴性更強，特征庫的實時性就更差。

用戶行為分析法在對手機病毒的發(fā)現(xiàn)能力以及特征庫的實時性等方面都優(yōu)于病毒體特征檢測法，然后病毒體特征檢測法借助外部病毒特征庫資源，可以快速檢測現(xiàn)網(wǎng)病毒的蔓延情況。因此將病毒體特征檢測法作為行為分析檢測技術(shù)的輔助手段配合使用，能夠起到較好的效果。

4 手機病毒終端側(cè)防治方案

手機病毒終端側(cè)防治方案即在用戶的終端上安裝能夠查殺手機病毒的軟件。殺毒軟件中使用最為常見的是特征值殺毒法。在對某個病毒進行分析之后，提取出其不同于其它程序的代碼特征，然后以此特征作為掃描程序掃描特定病毒的代碼標志。特征值可以是一段連續(xù)的固定字符串，也可以是幾段中間插有其它不確定字符的不連續(xù)的字符串等。由于殺毒軟件需要對成千上萬的病毒進行查殺，因此需要將其分成兩個部分：病毒掃描引擎和病毒特征庫。病毒掃描引擎負責從病毒特征庫中獲取病毒的特征值，使用該特征值對磁盤上的所有或部分文件進行掃描。病毒掃描引擎是不會經(jīng)常改動的，殺毒軟件為了查殺最新出現(xiàn)的病毒，病毒特征庫需要及時更新。在發(fā)生重大病毒疫情時，病毒庫也應(yīng)該通過網(wǎng)絡(luò)及時更新。殺毒軟件也可以使用在線殺毒的方式，即病毒特征庫不保存在本地手機中，而是保存在與移動互聯(lián)網(wǎng)相連的某臺服務(wù)器中，使用這種方式可以節(jié)省本地空間，并且保證病毒庫及時更新。

5 手機病毒網(wǎng)絡(luò)側(cè)與終端側(cè)防治方案對比分析

表1 網(wǎng)絡(luò)側(cè)防治方案與終端側(cè)防治方案對比

手機病毒網(wǎng)絡(luò)側(cè)防治方案與終端側(cè)防治方案相比，如表1所示，運營商針對網(wǎng)絡(luò)側(cè)方案的可掌控范圍及能力要更大，并且網(wǎng)絡(luò)側(cè)方案不需終端用戶介入，不消耗用戶側(cè)資源，可以覆蓋全網(wǎng)用戶，病毒無法干擾網(wǎng)絡(luò)側(cè)防護系統(tǒng)的正常運行，也無法躲避防護系統(tǒng)的監(jiān)測與攔截。

而相對來說，運營商針對終端側(cè)方案的可掌控范圍及能力要小很多，終端側(cè)防護系統(tǒng)即安裝殺毒軟件屬于單機防護，無法全網(wǎng)控制，因為全網(wǎng)用戶人數(shù)眾多，無法要求每位用戶都能夠自行安裝殺毒軟件，并且也不能保證每位用戶都能夠正確使用殺毒軟件。而且殺毒軟件需要消耗用戶手機的資源，并且大部分都需要收費。同時，手機病毒可以通過關(guān)閉殺毒軟件和改變自身文件特征等方式逃避殺毒軟件的查殺。

6 結(jié)束語

綜上所述，雖然網(wǎng)絡(luò)側(cè)防治方案相對于終端側(cè)防治方案具有一定的優(yōu)勢，例如無需用戶介入，接入網(wǎng)絡(luò)即能得到保護，不消耗用戶側(cè)資源，可以覆蓋全部中國移動移動用戶，可全網(wǎng)統(tǒng)一攔截病毒，免費向用戶提供病毒檢測服務(wù)，病毒無法躲避檢測攔截，無法干擾網(wǎng)絡(luò)側(cè)防治系統(tǒng)運行，但是網(wǎng)絡(luò)側(cè)防治系統(tǒng)最終是無法清除用戶側(cè)手機內(nèi)的病毒，因此采用以網(wǎng)絡(luò)側(cè)為主、終端側(cè)為輔的手機病毒防治模式更有利于解決目前中國移動面臨的挑戰(zhàn)。

通過手機病毒的防治工作，主動發(fā)現(xiàn)手機病毒，可以減少手機病毒引發(fā)的客戶投訴，大量節(jié)省處理投訴的人力成本，并且有效清除了由于手機病毒引發(fā)的網(wǎng)絡(luò)資源占用，大量節(jié)省網(wǎng)絡(luò)資源，同時也可以為中國移動和整個通信行業(yè)贏得良好聲譽。

智能手機帶來了便利的業(yè)務(wù)，也帶來了潛在的危機。手機病毒的出現(xiàn)和某些病毒的較大范圍傳播，對普通用戶和移動運營商都提出了挑戰(zhàn)。移動運營商、用戶和手機制造商對產(chǎn)業(yè)鏈上的各個環(huán)節(jié)均造成了影響，各個環(huán)節(jié)之間應(yīng)該相互配合，共同完成防病毒工作。尤其是移動運營商在網(wǎng)絡(luò)側(cè)的監(jiān)測與查殺工作在整個病毒傳播過程中起著至關(guān)重要的作用，終端用戶的防范機制和手機制造商的自律與安全技術(shù)的提升也是不可缺少的部分。手機病毒是可防、可控、可治的，隨著智能手機的廣泛應(yīng)用，手機病毒技術(shù)快速發(fā)展，對其的防范也必將是一項長期性的工作。

[1]徐威，方勇，吳少華，吳毓書. 手機病毒的攻擊方式和防范措施[J]. 信息與電子工程，2009,(1):66-70.

[2]黃丹，桑梓勤. 移動通信網(wǎng)絡(luò)病毒防治方案淺析[J]. 光通信研究, 2008,(2):39-40.

[3]江潔. 手機病毒的發(fā)展及對策[J]. 信息通信，2007,(3):70-72.

[4]周虹. 手機病毒的危害及其防范[J]. 湖南廣播電視大學(xué)學(xué)報,2007,(2):64-65.

[5]馬曉艷. 針對3G手機病毒的產(chǎn)業(yè)鏈分析[J]. 計算機安全，2008,(12):76-78.