第一个Windows移动操作系统的木马出现

韩冰

近日，CNCERT/CC注意到第一个利用Windows移动操作系统的木马出现，国际上称之为Backdoor.Brador.A。该木马运行于Windows Mobile 2003上，并只会感染采用ARM处理器的设备。Windows Mobile 2003也被叫做Pocket PC 2003或Windows CE 4.2。这个木马会在系统中开启后门，将被感染的掌上电脑或智能手机的IP地址发送给攻击者，并打开TCP的2989端口。 ! g* G% C" @, Z* C　 : A0 \3 N& r5 x/ O p分析： / G( P9 T" C6 Z! n6 ?& O　　当Backdoor.Brador.A木马运行时，它执行以下的操作： 　　1. 复制自身到Windows/StartUp/Svchost.exe (5632 bytes)，当系统启动时木马也就启动了。 + y; D) {. T. T' I$ Y　　2. 不断地试图用电子邮件发送被感染设备的IP地址给攻击者，直到成功为止。 ( X5 [/ B1 g* A% i1 U4 x　　3. 将TCP的2989端口打开并等待攻击者的指令。 & p( s5 E7 F2 E! L) Z3 ]- r　　4. 允许攻击者远程执行以下命令： 　　　　* 列出目录内容； 　　　　* 上传一个文件； # y4 i6 J8 Z0 D. [" s! H; R$ R) v　　　　* 显示消息框； 4 F3 x. Z. Y8 x8 d5 l+ L　　　　* 下载一个文件； 　　　　* 执行指定指令。 7 W. Y, ~9 F; J% V ^　　　 受影响的平台： 1 N* I: O% g: }* | 　　Windows CE 解决方案： 　　赛门铁克已经为此发布了解决方案： * M" W% k! F6 x0 k* u8 Z　　1. 更新病毒库； 5 E! k' T7 L0 N　　2. 对系统进行一次完整的扫描，将所有被Backdoor.Brador.A木马感染的文件删除。 6 Y! l2 I; V1 b8 }0 x& y7 o+ Y : ^+ h9 j# i+ {. S( E: Y% X参考信息： # T0 [- K+ {( h4 Y3 @4 T" e0 i http://securityresponse.symantec.com/avcenter/venc/data/backdoor.brador.a.html