第一个Windows移动操作系统的木马出现

韩冰

近日，CNCERT/CC注意到第一个利用Windows移动操作系统的木马出现，国际上称之为Backdoor.Brador.A。该木马运行于Windows Mobile 2003上，并只会感染采用ARM处理器的设备。Windows Mobile 2003也被叫做Pocket PC 2003或Windows CE 4.2。这个木马会在系统中开启后门，将被感染的掌上电脑或智能手机的IP地址发送给攻击者，并打开TCP的2989端口。 2 S; E' ~6 `( H. m2 V4 f+ z- m　 ' s4 X7 X/ x) U$ T5 E( T) ?分析： 　　当Backdoor.Brador.A木马运行时，它执行以下的操作： 　　1. 复制自身到Windows/StartUp/Svchost.exe (5632 bytes)，当系统启动时木马也就启动了。 ' F+ E: I0 m* \　　2. 不断地试图用电子邮件发送被感染设备的IP地址给攻击者，直到成功为止。 # i0 ~/ M/ Y* d, U6 z% x　　3. 将TCP的2989端口打开并等待攻击者的指令。 - G% K9 S5 R, D) {+ c　　4. 允许攻击者远程执行以下命令： 　　　　* 列出目录内容； 6 X" O2 B- f) g+ a8 [　　　　* 上传一个文件； + f$ b1 a6 M) A u* n　　　　* 显示消息框； 　　　　* 下载一个文件； 　　　　* 执行指定指令。 + k* N( U: F6 t9 G　　　 2 V W; x/ H) t9 A) n& `' F受影响的平台： 7 M% o! R Y, `3 K. _　　Windows CE 解决方案： 　　赛门铁克已经为此发布了解决方案： . o5 i; \/ K2 I- ~ y: z　　1. 更新病毒库； 0 q A- j; a" S* x) w# R　　2. 对系统进行一次完整的扫描，将所有被Backdoor.Brador.A木马感染的文件删除。 5 a/ x/ U/ b/ j& j6 }; ~( \ 6 Q8 l( ]; M2 N6 ^5 G/ M参考信息： http://securityresponse.symantec.com/avcenter/venc/data/backdoor.brador.a.html