第一个Windows移动操作系统的木马出现

韩冰

近日，CNCERT/CC注意到第一个利用Windows移动操作系统的木马出现，国际上称之为Backdoor.Brador.A。该木马运行于Windows Mobile 2003上，并只会感染采用ARM处理器的设备。Windows Mobile 2003也被叫做Pocket PC 2003或Windows CE 4.2。这个木马会在系统中开启后门，将被感染的掌上电脑或智能手机的IP地址发送给攻击者，并打开TCP的2989端口。 　 分析： # P! \9 e7 z% y. Q/ ~6 {1 j 　　当Backdoor.Brador.A木马运行时，它执行以下的操作： & O( S% c7 `3 Q+ J% v9 p d　　1. 复制自身到Windows/StartUp/Svchost.exe (5632 bytes)，当系统启动时木马也就启动了。 " p6 d6 i0 j+ z/ K" t E) N5 ^　　2. 不断地试图用电子邮件发送被感染设备的IP地址给攻击者，直到成功为止。 " `9 z' @; Y1 L6 _2 H# N) ~1 u+ Q" N　　3. 将TCP的2989端口打开并等待攻击者的指令。 　　4. 允许攻击者远程执行以下命令： 6 U) `/ S& m w% E! ` m7 u　　　　* 列出目录内容； * T* u8 G# H3 e; S/ [+ N　　　　* 上传一个文件； % I) ^' t m, A* b J2 k3 ^; T2 {: T& W　　　　* 显示消息框； 　　　　* 下载一个文件； 　　　　* 执行指定指令。 　　　 8 }9 {+ r; A- {+ N* c' a: {受影响的平台： 0 _: ?2 V+ r7 L% K8 M/ z! u- n5 B　　Windows CE 解决方案： / P' O4 p! n1 s1 d8 F + [) |7 _" A7 Q; n　　赛门铁克已经为此发布了解决方案： 　　1. 更新病毒库； 　　2. 对系统进行一次完整的扫描，将所有被Backdoor.Brador.A木马感染的文件删除。 参考信息： 0 w- J; G( _; D" H! B. Ahttp://securityresponse.symantec.com/avcenter/venc/data/backdoor.brador.a.html