第一个Windows移动操作系统的木马出现

韩冰

近日，CNCERT/CC注意到第一个利用Windows移动操作系统的木马出现，国际上称之为Backdoor.Brador.A。该木马运行于Windows Mobile 2003上，并只会感染采用ARM处理器的设备。Windows Mobile 2003也被叫做Pocket PC 2003或Windows CE 4.2。这个木马会在系统中开启后门，将被感染的掌上电脑或智能手机的IP地址发送给攻击者，并打开TCP的2989端口。 / N3 \9 R2 W0 z# a　 分析： ' H& z& R' j( b2 I　　当Backdoor.Brador.A木马运行时，它执行以下的操作： 　　1. 复制自身到Windows/StartUp/Svchost.exe (5632 bytes)，当系统启动时木马也就启动了。 　　2. 不断地试图用电子邮件发送被感染设备的IP地址给攻击者，直到成功为止。 , {: U) y" R; r( H" n　　3. 将TCP的2989端口打开并等待攻击者的指令。 5 v7 v1 K6 Q% L* N　　4. 允许攻击者远程执行以下命令： 　　　　* 列出目录内容； ' G) p, W9 f3 X% @* a, @* f6 t　　　　* 上传一个文件； $ t" b$ H$ D9 ^$ Z　　　　* 显示消息框； 　　　　* 下载一个文件； - [' |9 k& K1 n" R0 q f6 }5 n% {. S　　　　* 执行指定指令。 　　　 0 U$ z+ F' X. u* O& P受影响的平台： 　　Windows CE 解决方案： 2 U! I, i( r5 L) e, B 0 g8 ~0 C# J3 S7 i( h7 w$ x& ~　　赛门铁克已经为此发布了解决方案： 8 u b. k5 M" n O　　1. 更新病毒库； 　　2. 对系统进行一次完整的扫描，将所有被Backdoor.Brador.A木马感染的文件删除。 ' j. r- h) L1 A% R' H F 参考信息： % v( c# x7 f+ u" g8 R9 _/ U5 Z3 N . C6 I: s6 L- O3 d& @$ [http://securityresponse.symantec.com/avcenter/venc/data/backdoor.brador.a.html