本文系猎云网读者投稿
作者:金山毒霸安全工程师 李铁军
这个周末,不少手机用户收到了这样一条短信:“XXX,看看这个http://cdn.yy****.com/down/4279193/XXshenqi.apk”。由于短信来自好友,许多人不假思索地点开了上述链接,安装了一个名为“XX神奇”的手机程序。他可能不知道的是,安装后自己的手机就中毒了,接着会把类似的短信群发给自己的所有通讯录好友。
图1 所谓“超级手机病毒”传播的垃圾短信
就是这个“超级手机病毒”(我不喜欢这个言过其实的命名)周末在国内大肆传播,短短2天,上百万部手机收到相关短信,超过一万部安卓手机实际运行感染病毒,引发大量网民恐慌和媒体的集中关注。警方也很快出动,并在很短的时间内抓获了该病毒程序的作者。
让人们想不到的是,病毒作者不是什么“江洋大盗”,也不是什么职业黑客,只是一个19岁的大一学生。他暑假闲来无事,出于好玩的心态制作了这个程序。作为计算机软件学院的学生,他的初衷只是想尝试下是否可以设计一款能够传遍全国的程序。
事实上,这个程序的危害性并不十分严重,只是会消耗群发短信的资费,有些可能还会损失下载该程序的流量费。与其他恶意扣费、盗取网银账号等高危病毒的行为相比,“超级手机病毒”更像是一个学生的恶作剧。病毒程序简陋的操作界面,与程序代码中明文记载的作者手机号、邮箱帐号密码、QQ号等,也都说明作者其实是个新手和“菜鸟”。
“超级手机病毒”巨大的传播量与学生菜鸟的身份,形成了一个非常大的反差:为什么一个学生制作的充满恶作剧意味的简陋病毒程序,可以在短时间内,传播这么广,影响这么多人?这需要深入分析病毒传播方式,更需要安全从业者与广大手机网民进行反思。
一、短信群发的蠕虫式几何式传播。
病毒可以读取通讯录,通过短信群发,一传十,十传百,很快即可实现爆发式散发。短信蠕虫比通过第三方应用市场下载要快得多。
二、利用社交关系。
病毒利用通讯录,发送的短信带有收件人姓名,而且来自熟人好友,收件人容易放松警惕。这个小技巧让社交关系传播变得更容易。
三、公众普遍的安全意识缺乏。
从病毒传播的垃圾短信,到点击短信下载链接,到最终安装病毒,需要启动浏览器下载、下载后打开运行,运行时一步步点确认安装。任何一步点击“否”,网民就可以避免中毒。但还是有不少人中毒了。事实上,许多手机病毒都是通过垃圾短信、伪基站和第三方应用市场传播的。
安全专家表示,普通网民需要提高自身安全意识,尽量不要轻易打开短信、手机QQ消息、社交类APP中附带的网址链接,更不要轻易下载和安装来历不明的软件(安卓手机上就是扩展名为.apk的程序文件)。
四、手机安全软件“亡羊补牢”。
据警方公开的消息,最早在8月2日凌晨有市民举报“超级手机病毒”短信,几小时后,金山手机毒霸等国内安全软件相继宣布可以拦截查杀。
图3 金山毒霸查杀XX神器
虽然只是几个小时时间,而且对比依靠更新病毒库的传统杀毒软件,现在的云安全更新已经比较高效了,但由于该病毒传播呈现几何级扩散,后发响应式的杀毒软件仍然不够快,查杀的速度追不上病毒传播速度。
杀毒软件其实还可以更智能,比如,检测到手机APP正在快速群发可疑短信,要不要立刻阻止危险行为?另一方面,杀毒软件的垃圾短信鉴定系统也应该更加智能,当检测到全网同样特征的可疑短信突然增加,是否可以在客户端进行必要的安全提醒?
五、运营商的响应系统还须再加速。
运营商是控制该病毒传播中最关键的环节,大量相同内容的垃圾短信,容易触发运营商的预警系统,应迅速修改短信拦截策略,阻止危险短信到达收件人。运营商需要更快速的阻止大规模垃圾短信内容群发,特别是带有安卓程序下载链接的可疑短信。
与此同时,运营商的系统同样可以帮助警方捕获病毒作者,挖掘可疑短信的最初的源头、分析其共同特征,也能帮助发现病毒作者。
综合上述原因分析,最根本的依然是网民需要提高自己的安全意识。没有较高的安全意识,即使有手机安全软件的帮助和运营商的提醒,仍然不可能彻底摆脱风险。
蠕虫病毒传播方式,在PC互联网的时代,早已相当常见,比如为人熟知的引起系统反复重启的冲击波病毒、SQL蠕虫王导致企业大面积网络阻塞、预览邮件就中毒的“LOVE蠕虫”,这些蠕虫病毒在短短几小时至数天内遍布全球。
进入移动互联网时代,网络无处不在意味着攻击随时无处不在,短信蠕虫引起轩然大波的案例很有可能以某种新面目再度出现,提高自己的安全意识才可以从根本上帮助网民在新威胁到来之际避免成为受害者。