手机病毒及手机杀毒软件评测报告

手持设备病毒详解灵机网,t9j9_ ?t:j ^d

PDA和智能手机这两种最主要的手持设备都基于PDA操作系统，目前占据主流的是Palm、Windows Mobile和Symbian等系统。正是由于这些操作系统具有趋近于个人电脑操作系统的软件层功能，所以为病毒的滋生繁殖提供了可能。下面以操作系统作为主线带领大家了解手持设备平台上的病毒问题。灵机网[GSHS

Cabir安装信息

Palm灵机网-y\:Gpp5A

作为史上第一个手持设备操作系统，Palm形成了大量的手持设备用户群和资深玩家群体。现在Palm还在智能手机领域取得了不错的成绩，事实上除了PalmOne公司将该系统用于自己的手持设备之外，Sony等厂商也在自己的产品中应用了Palm操作系统。灵机网bP};i0C9Z|T

在手持设备领域的超然地位也使得Palm成为了最早发现病毒的手持设备系统。由Gambit工作室制作的Palm.Liberty木马程序在2000年8月下旬被发现，但是并没有多少实际用户受到该病毒的影响。该病毒伪装成Liberty Gameboy模拟器的破解程序，但它的真实目的却是删除现有系统上的文件。多个反病毒厂商都针对这个病毒进行了分析，得出的结论是该病毒并不会广泛传播，事实上也是如此。因为Liberty缺乏使其广泛传播的机制，只有那些尝试下载非法软件的用户才有可能感染该病毒。在2000年9月另一种Palm病毒被发现，这种病毒被命名为Palm.Phage。Phage会以.PRC文件的形式不断地复制自己，这个过程直到所有的程序被破坏才会终止。这也是Plam上发现的第一个具有传播能力的病毒程序，好在该病毒并不破坏数据文件而只会对应用程序造成影响。2001年1月，一个恶意软件在Palm系统上被发现，从运作机制上来说这并不是一个病毒而更象一个玩笑程序。被感染的Palm系统会出现一条奇怪的名为Santa的记录并包含一个通常是0的数字，这个病毒通常被称为Palm.Santa。灵机网p]vC9T

最有趣的一点是尽管Palm平台的病毒问题由来已久，但却始终没有引起大范围的影响。Palm病毒无论在传播能力还是在破坏能力方面都比较有限，而且截止到目前所出现的Palm病毒仍旧十分稀少，至少与Palm在手持设备领域巨大的市场占有率相比，这说明Palm系统在设计上确实非常出色。灵机网bA`M/C:Av`

Windows Mobile灵机网0IT!tt3^6X J5Y

这是微软现在主推的手持设备操作系统平台，Windows Mobile整合了大量的先进功能以提供良好的用户体验，更加重要的是它与我们常用的Windows操作系统具有较高的兼容性。不过这个移动版的Windows操作系统同样也继承了PC版操作系统的很多缺点，例如占用资源大导致运行速度不理想。更重要的是，微软在PC平台上为用户所诟病的系统漏洞和病毒问题在Windows Mobile平台可能被重演。已经有大量的病毒作者正在致力于开发针对微软手持设备平台的病毒。灵机网.N5f)b/B3[zx*|

在WinCE平台上被发现的第一个病毒是Dust，这是著名的病毒编写组织 29A 所公布的概念验证性病毒。这个病毒只是证明了微软的手持设备平台可能受到这类问题的影响，所以该病毒并没有向互联网上传播，而是递交给了反病毒机构。Dust病毒没有任何破坏性作用，只是弹出一个提示框询问用户是否传播该文件。而紧接着出现的Brador病毒则没有这么温和了，这种带有后门性质的病毒可以远程感染并具有远程控制功能。Brador使用ARM处理器的汇编语言写成，长度为5632字节，感染之后会将自己拷贝到\Windows\StartUp目录并命名为svchost.exe，这可以让Brador随系统启动而被激活。Brador会将被感染设备的IP地址通过电子邮件等方式发送给远程的恶意用户，同时开放2989端口等待远程的控制命令，例如列入目录中的内容、传输文件以及执行特定的指令等等。通常Brador会将自己包含在Web内容中，对于没有任何保护而任意下载东西的手持设备用户来说Brador是非常危险的。

目前在移动版Windows系统下发现的病毒有很大一部分是这两种病毒的变种，在这两种病毒出现之后，针对Windows手持设备平台的病毒正在呈现快速增长的态势。灵机网:T9?C*|5N}P

 灵机网/j$K!t+W[/]

微软手持操作系统解疑灵机网h_ua&ssVq??O

由于微软在手持设备领域发展过多个操作系统版本，这个微型指南将帮助大家理清思路。WinCE是较早出现在市场上的通用手持操作系统，该系统不针对特定设备，在掌上电脑、工业控制甚至个人电脑上都可以应用。PocketPC是微软专为掌上电脑设计的操作系统，是WinCE平台最主要的扩展之一，另一个主要的WinCE扩展是运行于智能手机的Smartphone。WinCE平台从4.0之后增加了.NET支持，也即WinCE .NET版本，在PocketPC 2003中也加入了同样的.NET精简版框架。曾有一个时期微软同时开发多个系列的手持设备操作系统，这为消费者和开发人员造成了不少混乱，后来微软将这些系统整合成了Windows Mobile产品家族。灵机网aL4z;gW oO%kN

Symbian灵机网,K{!Hk"a;G(n

尽管目前对掌上电脑并没有进行过多的投入，但是基于在智能手机领域超过半数的市场占有率，Symbian得以成为手持设备领域应用最普遍的操作系统之一。以目前诺基亚和索尼爱立信等大厂对Symbian的支持以及近年来Symbian的技术演变，这个操作系统很可能会在未来的PDA领域也获得不小的影响。事实上目前发现的手持设备病毒中有相当大的一部分都是针对Symbian S60操作系统的，这是出货量很高的一种Symbian中低端智能手机操作系统。

虽然早在2000年左右就出现了通过WAP网络传播的手机病毒，但是这些病毒通常只造成恶意信息的传送，而且并不是手机与手机之间的传播感染。由于没有操作系统的支持，在传统的手机上很难运行复杂的代码，所以真正的手机病毒在智能手机日渐普及的今天才显示出其深远的影响。最早走入人们视线的智能手机病毒当数Cabir，这个病毒最早与2004年中被发现，至今已经发展出十几个变种。最早版本的Cabir.a是一种通过手机的蓝牙连接进行传播的蠕虫病毒，其副本将被安装在\system\apps\caribe\目录下，感染了该病毒的手机会自动发现蓝牙连接并试图进行传播。通常该族群的病毒会被发送到目标手机的收件箱中，点击收到的消息会出现一系列的提示框，不选择进行安装则该病毒并不会进行实际的感染动作。从这一点可以看出Cabir并不是以大量传播为目的的病毒，或者说其并不具有恶意。在Cabir之后还出现过名为Lasco的改进版Cabir，Lasco与Cabir一样通过蓝牙传播，但是它同样能够潜伏在系统中并伺机通过存储卡、通信线缆等数据交换方式感染其它手机。今年出还发现了一种名为CommWarrior的通过蓝牙传播的病毒，不过该病毒已经增加了一种稍具恶意的行为，那就是尝试向手机中的联系人发送彩信，这可能会浪费手机使用者的很多金钱。另外该病毒在传播中会随机的对自己进行命名，这意味着该病毒较Cabir和Lasco更具隐蔽性。Skulls病毒自从2004年11月被发现为止已经出现了超过20个变种，这是最早出现的对手机功能造成影响的病毒之一。该病毒伪装成手机的应用程序，一旦被安装就会将所有的应用程序图标替换成骷髅的样式，这些图标将不再链接到实际的应用程序从而是手机除拨打电话之外的所有功能失效。Skulls不再象Cabir那样只感染特定型号的手机，所有使用Symbian操作系统的手机都可能受到感染。另外，Fontal病毒同样能够破坏手机的机能，通过将手机中的字体替换为无效的字体可以造成操作系统无法正常启动。在感染了Skulls和Fontal这类恶性病毒之后应注意不要重启手机，而是尝试手动执行清除工作，大部分反病毒厂商的网站上都提供了手动清除这些病毒的方法。灵机网$DFR*@3h{?

以上只是Symbian平台所有流行病毒的一部分，还有很多颇具破坏力的病毒没有在此进行说明。基于移动电话的高普及率，Symbian已经成为手持设备平台发现病毒最多的操作系统。而随着智能手机与PDA等手持设备的不断融合，未来的手机平台可能成为继PC平台之后最大的病毒传播载体。

最具破坏力的智能手机病毒现身灵机网k*E8E
M6mX,\q7o
Y

2005年7月，模拟Symbian版Doom 2程序的Doomboot病毒被发现，该病毒综合了之前大部分智能手机病毒的特性。Doomboot的一些变种与CommWarrior进行了整合，并包含了Fontal替换字体的功能。而且与之前的智能手机病毒不同的是，Doomboot想尽一切方法隐藏自己，对于一般用户来说很难发现它的存在。在不久前发现的最新Doomboot变种可能破坏手机中的所有信息并使手机无法启动。Doomboot的出现标志着智能手机用户将开始真正面对病毒的破坏性威胁。