数学建模社区-数学中国

标题: 第一个Windows移动操作系统的木马出现 [打印本页]
作者: 韩冰    时间: 2004-10-3 20:17
标题: 第一个Windows移动操作系统的木马出现
近日,CNCERT/CC注意到第一个利用Windows移动操作系统的木马出现,国际上称之为Backdoor.Brador.A。该木马运行于Windows Mobile 2003上,并只会感染采用ARM处理器的设备。Windows Mobile 2003也被叫做Pocket PC 2003或Windows CE 4.2。这个木马会在系统中开启后门,将被感染的掌上电脑或智能手机的IP地址发送给攻击者,并打开TCP的2989端口。 " ~& L* v# U& o9 ~' ? + g& D- [6 y1 Z3 j9 U 分析8 X8 X% f* f# E; C# N8 u8 e$ |6 h2 S7 h+ P I! A( E, Z3 Q   当Backdoor.Brador.A木马运行时,它执行以下的操作: % j# g. }+ y2 [. @1 R) `9 D  1. 复制自身到Windows/StartUp/Svchost.exe (5632 bytes),当系统启动时木马也就启动了。$ k$ U( W# n2 {2 Q   2. 不断地试图用电子邮件发送被感染设备的IP地址给攻击者,直到成功为止。 1 P* @, ]) `$ G) Z: [  3. 将TCP的2989端口打开并等待攻击者的指令。 7 F( I4 c9 t, m$ W! \# ^; H0 Y# r7 z  4. 允许攻击者远程执行以下命令:* z( E. w3 F7 n8 i& _/ s7 X     * 列出目录内容;( i* e- ^. }& c0 W# c     * 上传一个文件;$ b, U3 d: [. ]     * 显示消息框; 6 E# m7 ?! u9 B. h    * 下载一个文件; # w" E/ t0 s$ H. `    * 执行指定指令。 - d( u, r( N, C7 _5 V   + l$ l! W% t7 A4 J% u, \) F7 l 受影响的平台# J5 ^- t1 c. n& X/ Q , G$ R- N& k# U% P8 `0 d" D3 V1 c  Windows CE, Y3 W4 S% ^. v+ L : q5 y, w, z3 ^' o& @解决方案" }+ y' C- A$ a) _ ' z' I$ k* U( k! n/ Y' f  赛门铁克已经为此发布了解决方案: 6 g5 ~. B4 E5 q  1. 更新病毒库;6 @. [( z" ?6 ?3 G, R+ e   2. 对系统进行一次完整的扫描,将所有被Backdoor.Brador.A木马感染的文件删除。 4 U5 g+ X8 k' p6 W* i " Y* A5 I6 n# x' u6 a, C参考信息4 d4 j! S! i8 \% g+ @/ F( l: |1 I; i http://securityresponse.symantec.com/avcenter/venc/data/backdoor.brador.a.html



欢迎光临 数学建模社区-数学中国 (http://www.madio.net/) Powered by Discuz! X2.5