第一个Windows移动操作系统的木马出现

韩冰

近日，CNCERT/CC注意到第一个利用Windows移动操作系统的木马出现，国际上称之为Backdoor.Brador.A。该木马运行于Windows Mobile 2003上，并只会感染采用ARM处理器的设备。Windows Mobile 2003也被叫做Pocket PC 2003或Windows CE 4.2。这个木马会在系统中开启后门，将被感染的掌上电脑或智能手机的IP地址发送给攻击者，并打开TCP的2989端口。 ! l O* x" t& Q) b5 I) ^, x　 . b# B2 P& k% }4 o/ \+ a分析： 　　当Backdoor.Brador.A木马运行时，它执行以下的操作： 　　1. 复制自身到Windows/StartUp/Svchost.exe (5632 bytes)，当系统启动时木马也就启动了。 % c1 {* G2 Q" I! J4 z" Q9 z! a　　2. 不断地试图用电子邮件发送被感染设备的IP地址给攻击者，直到成功为止。 　　3. 将TCP的2989端口打开并等待攻击者的指令。 　　4. 允许攻击者远程执行以下命令： 　　　　* 列出目录内容； 6 l' ?3 i2 s4 N# b+ T9 Q+ T \　　　　* 上传一个文件； ( y2 u+ H2 i, T( R2 [9 `4 _　　　　* 显示消息框； 　　　　* 下载一个文件； 　　　　* 执行指定指令。 　　　 $ [1 w5 `2 j/ i: L% z. D" ^9 t, s受影响的平台： / E$ `7 z7 p! _, P. R4 o7 i( h　　Windows CE 8 s, X% E* N6 X 解决方案： 7 Y+ J! Q- Y* E6 w' A' V # y* b) H8 ?3 A. @/ e9 ~　　赛门铁克已经为此发布了解决方案： & i$ N5 {3 H) n' l" z, e　　1. 更新病毒库； 　　2. 对系统进行一次完整的扫描，将所有被Backdoor.Brador.A木马感染的文件删除。 " f0 e+ A8 I; c) c4 P! b/ i& L) h" S参考信息： : `3 ` h/ Y5 q, T0 H / Z+ l- D0 I% P0 H0 Zhttp://securityresponse.symantec.com/avcenter/venc/data/backdoor.brador.a.html