数学建模社区-数学中国

标题: 第一个Windows移动操作系统的木马出现 [打印本页]

作者: 韩冰    时间: 2004-10-3 20:17
标题: 第一个Windows移动操作系统的木马出现
近日,CNCERT/CC注意到第一个利用Windows移动操作系统的木马出现,国际上称之为Backdoor.Brador.A。该木马运行于Windows Mobile 2003上,并只会感染采用ARM处理器的设备。Windows Mobile 2003也被叫做Pocket PC 2003或Windows CE 4.2。这个木马会在系统中开启后门,将被感染的掌上电脑或智能手机的IP地址发送给攻击者,并打开TCP的2989端口。 3 O$ o; _7 o' ^4 W  ( R7 t1 h4 N% ~分析4 x9 Q$ {; d/ V8 p. z5 I5 g) M% P, |4 ~+ _1 w: S& ^5 `   当Backdoor.Brador.A木马运行时,它执行以下的操作: : f1 j# \3 D4 w  1. 复制自身到Windows/StartUp/Svchost.exe (5632 bytes),当系统启动时木马也就启动了。( X( ]' d6 S/ r* z. f3 }& m   2. 不断地试图用电子邮件发送被感染设备的IP地址给攻击者,直到成功为止。4 @: y, v Q3 ?% F% I1 ]   3. 将TCP的2989端口打开并等待攻击者的指令。 $ {5 e6 K( @1 Z- E% b* a' P  4. 允许攻击者远程执行以下命令:8 {# E2 m. q4 S" _! V6 B     * 列出目录内容; + S2 ^; l1 w+ R8 _, P3 Q    * 上传一个文件;- Z7 P$ M, ]% w& I; E" S6 G     * 显示消息框; . M9 z" t0 _3 J4 U    * 下载一个文件; % g: K" N- T) t    * 执行指定指令。 : h) H9 Q* f+ v* i: x   - J7 U, ?1 M9 ^2 j% ` 受影响的平台 O+ p1 \; W9 p# I+ @9 v) s# Y: l# I3 E8 c8 d1 U8 t& o) P* P$ N   Windows CE& t9 n# Y9 y& u/ ? 5 P0 r3 K7 J6 r6 c: f" e8 o 解决方案( q* [, L- X2 h2 Q1 V' a. N' a. x9 b% K# S6 [( \% h8 B/ C" G1 X   赛门铁克已经为此发布了解决方案: * m: R( P. t6 L I$ |! m  1. 更新病毒库;) U1 w9 l9 H+ T, G   2. 对系统进行一次完整的扫描,将所有被Backdoor.Brador.A木马感染的文件删除。 " V i# P# \2 n% u9 b ! K5 [5 z H! I2 A4 r参考信息9 t! i: U5 Z: o$ d : [( b9 o! \) h( z1 V0 Ihttp://securityresponse.symantec.com/avcenter/venc/data/backdoor.brador.a.html




欢迎光临 数学建模社区-数学中国 (http://www.madio.net/) Powered by Discuz! X2.5