2009/02/23

　　2月23日消息，據(jù)Fortinet公司的研究人員警告稱，一種新的攻擊移動(dòng)設(shè)備的互聯(lián)網(wǎng)蠕蟲正在通過短信服務(wù)迅速傳播。這種移動(dòng)蠕蟲名為“SymbOS/Yxes.Alworm”，但是也有人把這種蠕蟲稱作“SexyView”，專門攻擊采用“SymbianOSS603rd Edition FP 1”操作系統(tǒng)的移動(dòng)設(shè)備，影響到諾基亞3250手機(jī)和其它具有互聯(lián)網(wǎng)功能的移動(dòng)設(shè)備。

　　一旦安裝到用戶的移動(dòng)設(shè)備中，這種蠕蟲就在“EConServer.exe”以及“EComServer.exe”等合法的流程掩護(hù)下運(yùn)行，并且在設(shè)備每一次啟動(dòng)后運(yùn)行。除了包含許多變體之外，這種蠕蟲的攻擊目標(biāo)是摧毀應(yīng)用程序管理器等某些流程。

　　“SexyView”移動(dòng)蠕蟲與眾不同的特點(diǎn)是從被感染的設(shè)備的文件系統(tǒng)中搜集電話號(hào)碼并且不斷地向電話號(hào)碼簿中的其它電話號(hào)碼發(fā)送包含惡意URL的短信。

　　Fortinet的FortiGuard全球安全團(tuán)隊(duì)的網(wǎng)絡(luò)安全和威脅研究員DerekManky說，這種蠕蟲采用互聯(lián)網(wǎng)木馬和僵尸網(wǎng)絡(luò)的同樣方法，依靠像社會(huì)工程學(xué)的方法假冒用戶熟悉的人發(fā)出的鏈接吸引用戶的注意力。用戶點(diǎn)擊這個(gè)鏈接就會(huì)受到蠕蟲的感染，特別是如果用戶以為自己打開一個(gè)熟悉的來源的網(wǎng)頁的時(shí)候。

　　在點(diǎn)擊這個(gè)被感染的鏈接之后，用戶就不知情地下載一個(gè)惡意軟件。這個(gè)惡意軟件接下來就自我傳播，同時(shí)收集有關(guān)受害人的信息，如手機(jī)的序列號(hào)和訂閱號(hào)碼，并且把這些信息發(fā)送給攻擊者控制的遠(yuǎn)程服務(wù)器。

　　到目前位置，這個(gè)蠕蟲似乎黑沒有接受它聯(lián)系的遠(yuǎn)程服務(wù)器的指令。然而，攻擊者服務(wù)器控制的惡意服務(wù)器上托管了許多這種蠕蟲的變體，并且為這些蠕蟲提供隨意進(jìn)行更新和有效地變異，增加和刪除等功能。攻擊者利用這些功能可以遠(yuǎn)程控制這些蠕蟲。

　　安全專家稱，為了保護(hù)移動(dòng)應(yīng)用程序不受這種蠕蟲的感染，用戶要保持自己的殺毒軟件和反間諜軟件處于最新的狀態(tài)，不要打開不知道的鏈接。

　　安全專家表示，隨著黑莓和其它智能手機(jī)應(yīng)用程序日益增多的功能打開了更多的黑客能夠利用的安全漏洞，今后幾個(gè)月對(duì)移動(dòng)平臺(tái)的惡意軟件攻擊和蠕蟲攻擊預(yù)計(jì)會(huì)增多。

賽迪網(wǎng)中國(guó)信息化(industry.ccidnet.com)