第一个Windows移动操作系统的木马出现
近日,CNCERT/CC注意到第一个利用Windows移动操作系统的木马出现,国际上称之为Backdoor.Brador.A。该木马运行于Windows Mobile 2003上,并只会感染采用ARM处理器的设备。Windows Mobile 2003也被叫做Pocket PC 2003或Windows CE 4.2。这个木马会在系统中开启后门,将被感染的掌上电脑或智能手机的IP地址发送给攻击者,并打开TCP的2989端口。<B>分析</B>:
当Backdoor.Brador.A木马运行时,它执行以下的操作:
1. 复制自身到Windows/StartUp/Svchost.exe (5632 bytes),当系统启动时木马也就启动了。
2. 不断地试图用电子邮件发送被感染设备的IP地址给攻击者,直到成功为止。
3. 将TCP的2989端口打开并等待攻击者的指令。
4. 允许攻击者远程执行以下命令:
* 列出目录内容;
* 上传一个文件;
* 显示消息框;
* 下载一个文件;
* 执行指定指令。
<B>受影响的平台</B>:
Windows CE
<B>解决方案</B>:
赛门铁克已经为此发布了解决方案:
1. 更新病毒库;
2. 对系统进行一次完整的扫描,将所有被Backdoor.Brador.A木马感染的文件删除。
<B>参考信息</B>:
http://securityresponse.symantec.com/avcenter/venc/data/backdoor.brador.a.html
页:
[1]