手机病毒——病毒发展的下一个目标
2010年4月,一条内容为“’手机骷髅’倾情奉献章子怡私密信息,请上http://transdin”的彩信在客户中广泛传播快速泛滥。’手机骷髅’为一款手机病毒,它伪装成手机应用软件“系统中文语言包”诱骗客户下载安装之后,能够强制客户手机联网下载特定的号码,并自动向这些号码及通讯录的号码发送彩信,然后删除发送记录,客户因此被消耗大量通信费,一般都在200元以上。该病毒还会发送手机个人信息到黑客控制的服务器,造成严重的信息泄露。同时,收到该彩信的其他手机客户继续受到“手机骷髅”的威胁,使“手机骷髅”的感染量不断地、以几何级放大。2010年6月,央视焦点访谈曝光“手机吸费”,目标直指运营商管理失职。事实上,2010年以来,手机病毒日趋活跃,其背后是一条黑色的产业链,年收入达十亿元水平。随着3G网络的推进和我国智能手机的不断普及,手机病毒成为了病毒发展的下一个目标。
打响手机病毒阻击战,保卫用户安全体验
手机病毒是一种破坏性程序,和计算机病毒(程序)一样具有传染性、破坏性。手机病毒可利用发送短信、彩信,电子邮件,浏览网站,下载铃声,蓝牙等方式进行传播。手机病毒可能会导致用户手机死机、关机、资料被删、向外发送垃圾邮件、拨打电话等,甚至损毁SIM卡、芯片等硬件。如今手机病毒,受到PC病毒的启发与影响,也有所谓混合式攻击的手法出现。同时,WCDMA上网卡的大量使用及流量型业务的快速增长,将传统互联网的安全问题也带进了移动分组域,病毒等流量占用了无线及分组域的资源。
诺基亚西门子移动互联网安全解决方案——恶意软件管控
诺西解决方案通过对流量特征以及应用程序内容的监测,实时发现手机病毒、恶意软件、僵尸网络主机等各类安全问题。对于检测到的安全问题,可以通过主动切断恶意流量、封堵恶意代码传播链接、或通过推送提示信息、发起客服呼叫等方式告知用户并引导用户安装终端侧的杀毒软件彻底清除安全威胁。
诺西解决方案通过海量数据分析、挖掘,提取出恶意代码的传播利益链,帮助运营商追查恶意代码源头,并分析利益链条,并作为处理证据留存。
目前,该方案广泛应用中华电信、沃达丰、西班牙电信等众多运营商网络。在国内,现有使用案例中单套系统最大监控现网流量900Gbps以上,总存储能力600T;此外还有在某省管控带宽260Gbps、河北联通IDC数据中心,总出口带宽60Gbps,总监控服务器愈6000台等。
诺西恶意软件管控概览
恶意代码检测技术
对于已知手机病毒:
– 高速电信网线速手机病毒扫描与防护
– 支持复杂彩信的解析和彩信病毒的高速检测与捕获
对于未知手机病毒:
– 基于网络行为特征的智能未知病毒检测技术,同时可对手机病毒的传播进行溯源与定位。
系统功能
– 实时分析网络异常流量(MMS,HTTP),样本留存。
– 实时分析用户异常行为(MMS,HTTP),样本留存。
– 实时检测病毒、木马、恶意代码和敏感词等信息。
– 支持扫描sis、sisx、jar、apk、cab、exe等格式安装包。
– 支持彩信内容匹配以及黑、白名单设置。
– 支持传播者/感染者的IP及手机号信息,传播途径、传播时间、病毒类型,病毒样本等分析。
– 支持恶意软件URL分析、除重,访问量排名等。
– 支持恶意代码利益链分析。
手机病毒终端类型要求
SymbianOS;Android;iOS;PalmOS;BlackberryOS;Windows Mobile;J2ME;
程序包扫描支持格式要求
SIS、SISX、EXE、JAR、APK、CAB等
网络协议支持类型
支持GPRS网络Gn、Gi口;支持GTP、GRE协议分析;支持MMS、HTTP、WAP、POP3、FTP、Telnet等协议分析;
监控方式
– 旁路监听模式;
– 支持用户临时IP与用户手机号码实时绑定;
– 支持自动发现手机号和智能识别目标手机类型的功能;
– 支持目标网站IP与URL绑定;
– 支持目标和手机恶意代码特征库自动智能匹配功能;
– 支持实时封堵设备同步URL黑名单。
分阶段战,保卫用户安全体验
建设一个基于用户、时间、应用、内容、带宽等元素对手机恶意软件进行全面而灵活的策略设置,把网络风险管理从“被动式响应管理”提升为“主动式预警管理”,从“防范管理”提升为“控制管理”,把网络的“通信安全”提升为“应用安全”,把对内容的“单纯封堵”提升为“新业务类型-绿色上网”。
为了实现真正安全的网络环境,运营商需要“内外兼修”,除了阻挡来自竞争对手的外部攻击外,通过大力加强内容安全平台的建设,将外部对运营商的压力转换成一个创新业务。
