在如今的互联网大潮中,无论是专业人士还是普通大众都需要有网络安全意识。除了以上介绍的几种网络安全需要用户加强用户的防范意识,还有WiFi安全攻防、网络账号密码攻防、网络代理与追踪技术、局域网攻防、网站脚本攻防、远程控制技术以及密码攻防等。
在网络技术迅猛发展的过程中,随着技术的广泛应用,网络安全问题越来越突出,加强黑客攻击网络的防护技术应用就显得更为重要,加强计算机网络黑客防护技术的科学应用,就要从多方面进行考虑,保障防护技术的作用充分发挥。通过此次对计算机网络攻防技术的分析以及研究,确实在很大程度上加强了自身的网络安全意识。在未来的学习和工作中也会继续深入了解更多有关网络安全方面的知识,希望能够帮助解决实际的网络安全问题。
在信息化飞速发展的今天,计算机网络得到了广泛的应用但随着网络之间信息传输的急剧增长,一些机构部门在得益于网络加快业务运作的同时,其上网的数据也遭到了不同程度的攻击和破坏。在当前的Internet 上有一批熟谙网络技术的人,其中不乏网络天才,他们只是经常利用网络上现存的漏洞,想方设法进入他人的计算机网络系统,探究他人的隐私等但并不会对他人的计算机造成危害。许多网络系统都存在着这样的漏洞,也有可能是系统本身所有的,也有可能是由于网关的疏忽而造成的的,黑客利用这些漏洞就能完成密码探测、系统入侵等攻击。对于系统本身的漏洞,可以安装软件补丁;另外网管也需要仔细工作,尽量避免因疏忽而使目的邮箱被撑爆而无法使用。攻击者不仅可以窃听网络上信息,窃听用户口令、数据库的信息;还可以篡改数据库内容,伪造用户身份,否认自己的签名。更有甚者,他们删除数据库的内容,摧毁网络节点,释放计算机病毒等等,这些都使数据的安全性和自身的利益受到了严重的威胁。
随着我国互联网行业的飞速发展,木马、后门、病毒等计算机恶意程序也越来越成为广大计算机用户面临的最大网络危害。网络安全防护形势严峻木马问题引发社会关注。
1 Windows XP系统常见漏洞
(1)UPNP服务漏洞
漏洞描述:允许攻击者执行任意指令。
防御策略:禁用UPNP服务之后,下载并安装对应的补丁程序。
(2)升级程序漏洞
漏洞描述:如将Windows XP 升级至Windows Prp,IE会重新安装,以前的补丁程序将会被全部清除。
防御策略:如IE浏览器未下载升级补丁可至微软网站下载最新的补丁程序。
(3)帮助和支持中心漏洞
漏洞描述:删除用户系统文件
防御策略:安装Windows XP的Service Pack 3。
(4)压缩文件夹漏洞
漏洞描述:Windows XP压缩文件夹可按攻击者的选择运行代码。
防御策略:不接收不信任的邮件附件,也不下载不信任的文件。
(5)服务拒绝漏洞
漏洞描述:服务拒绝
防御策略:关闭PPTP服务
(6)Windows Media Player漏洞
漏洞描述:可能导致用户信息的泄露;脚本的调用;缓存路径泄露
(7)RDP漏洞
漏洞描述:信息泄露并拒绝服务
防御策略:Windows XP默认并启动它的远程桌面服务。即使远程桌面服务启动,只需要在防火墙中屏蔽3389端口,就可以避免该攻击了。
(8)VM漏洞
漏洞描述:可能会造成信息泄露,并执行攻击者代码
防御策略:经常进行相关软件的安全更新。
(9)热键漏洞:
漏洞描述:设置热键后,由于Windows XP的自注销功能,可使系统“假注销”,其他用户即可通过热键调用程序。
防御策略:
①由于该漏洞被利用的前提为热键所用,因此需检查可能会带来危害的程序和服务的热键。
②启动屏幕保护程序,并设置密码
③在离开计算机时锁定计算机
(10)账号快速切换漏洞
漏洞描述:Windows XP快速账号切换功能存在问题,可造成账号锁定,使所有非管理员账号均无法登录。
防御策略:被锁定后可注销计算机,重新进入账号。
(10)代码文件自动升级漏洞
漏洞描述:该漏洞可攻击任何一台提供PPTP服务的服务器,对于PPTP服务客户端的工作站,攻击者只需激活PPTP会话,即可进行攻击。对任何遭到攻击系统,可通过重启来恢复正常的操作。
防御策略:建议不默认启动PPTP。
2 Windows 7系统常见漏洞
(1)快捷方式漏洞
漏洞描述:快捷方式漏洞是Windows Shell框架中存在的一个危机安全漏洞,在S的解析过程中,会通过“快捷方式”的文件格式去逐个解析:首先找到快捷方式所指向的文件路径,接着找到快捷方式依赖图标的图标资源。这样,Windows桌面和开始菜单上就可以看到各种漂亮的图标,我们点击这些快捷方式时,就会执行相应的程序。
微软lnk漏洞就是利用了系统解析的机制,攻击者恶意构造一个特殊的lnk(快捷方式)文件,精心构造一串程序代码来骗过操作系统。当S解析到这串编码的时候,会认为这个“快捷方式”依赖一个系统控件(dll文件),于是将这个“系统控件”加载到内存中执行。如果这个“系统控件”是病毒,那么Windows在解析这个lnk(快捷方式)时,就把病毒激活了。该病毒很可能通过USB存储器进行进行传播。
防御策略:禁用USB存储器的自动运行功能,并且手动检查USB存储器的根文件夹。
(2)SMB协议漏洞
漏洞描述:SMB协议只要是作为Microsoft网络的网络通信协议。用于在计算机间共享文件、打印机、串口等。当用户执行SMB2协议时,系统将会受到网络攻击,从而导致系统崩溃或重启。因此只要故意发送一个错取得网络协议请求,Windows 7系统就会页面错误,导致蓝屏会死机。
防御策略:关闭SMB服务。
木马攻防
如今网络世界中,木马带来的安全问题已经远远超过病毒,他们如幽灵般的渗入到计算机中,已成为监控,窃取和破坏我们信息安全的头号杀手。一直以来,由于公众对木马知之甚少,才使得木马有机可乘,只有将木马的使用伎俩公之于众才能横好的保护我们的信息财富。以下主要介绍了木马攻击的技巧,其中包括木马的伪装手段、捆绑木马及木马清除工具的使用等,可有效帮助用户避免自己的计算机中木马,从而就可以保护计算机的安全。
木马在计算机领域中指的是一种后门程序,是黑客用来盗取其他用户的个人信息,与病毒相似,木马程序有很强的隐秘性,他会随着操作系统启动而启动。工作原理:一个完整的木马程序包括两部分:服务端(服务器部分)和客户端(控制器部分)。植入对方计算机的是服务端,而黑客正是利用客户端进入运行了服务端的计算机,运行了木马程序的服务端以后,会产生一个有着容易迷惑用户的名称的进程,暗中打开端口,向指定地点发送数据(如网络游戏的密码,实时通信软件密码和用户上网密码等),黑客甚至可以利用这些打开的端口进入计算机系统。
1木马的发展演变
第一代:是最原始的木马程序。主要是密码的窃取,通过电子邮件发送信息等具备木马最基本的功能。
第二代:冰河木马。技术上有了进步。
第三代:ICMP木马。主要改进在数据传递技术,利用畸形报文传递数据,增加了杀毒软件查杀识别的难度。
第四代:DLL木马。采用内核插入式的嵌入式方式,利用远程插入线程技术,嵌入DLL线程。或者是挂接PSAPI,实现木马程序的隐藏,甚至是在Windows NT/2000下,都达到了良好的隐藏效果,灰鸽子和蜜蜂大盗是比较出名的DLL木马。
第五代:驱动级木马。使用了大量的Rootkit技术来达到深层隐藏的效果,并深入内核空间,感染后针对杀毒软件和网络防火墙进行攻击,可将系统SSDT初始化,导致杀毒防火墙失去效应。有的驱动级木马可驻留BIOS,并且很难查杀。
第六代:黏虫技术类型和特殊反显技术类型木马。前者主要是以盗取和篡改用户敏感信息为主,后者以动态口令和硬证书攻击为主,PassCopy和暗黑蜘蛛侠是这类木马的代表。
一个完整的木马有硬件部分和软件部分和具体连接部分组成。
常见的木马只要可以分为以下9类
(1)破坏性。这类木马主要功能就是破坏并且删除文件,能够自动删除目标主机上的DLL、INI、exe文件
(2)密码发送性。因为Windows提供密码记忆功能,这类木马恰好就是利用这一点获取目标机的密码,他们会在重新启动Windows时重新运行,而且多使用25号端口发送E-mail。
(3)远程访问型。可以远程访问被攻击者的硬盘只用运行了服务端程序,客户端通过扫描等手段就会知道服务端的IP地址,就可以实现远程控制了。远程访问型木马会在目标上打开一个端口,而且有些木马还可以改变端口,设置连接密码等,为的是能够让黑客自己控制这个木马。只有改变了大家都熟知的端口,才更具有隐蔽性。
(4)键盘记录型木马。随着Windows的启动而启动,会记录受害者的键盘敲击并且在日志文件中查找密码,他们会有在线和离线的记录选项,科技分别记录用户在线和离线状态下的按键情况,黑客会从记录中知道密码等有用的信息,甚至是信用卡账号密码等。而且这种类型的木马很多具有邮件发送功能,会自动将密码发送到黑客的指定邮箱。
(5)Dos攻击木马。有一种类似Dos的木马叫做邮件炸弹木马,一旦机器被感染,木马就会随机生成各种各样的主题信件,对它定的邮箱不同的发送邮件,一直到对方瘫痪、不能接收邮件为止。
(6)FTP木马。最古老的木马,现在新FTP木马还加上了密码保护功能,这样,只有攻击者本人才知道正确的密码,从而进入对方的计算机。
(7)反弹端口型木马。与一般的木马相反,反弹端口型木马的服务端(被控制端)使用主动端口,客户端(控制端)使用被动端口。木马定时监测控制端的存在,发现控制端上线立即弹出端口主动连接控制端打开的被动端口;控制端口一般在80。
(8)代理木马。黑客会给“肉鸡”种上代理木马,通过代理木马,攻击者可以再匿名的情况下使用Telnet、ICQ、IRC等程序,从而隐蔽自己的踪迹。
(9)程序杀手木马。要在对方的计算机上发挥木马的作用,还要提防防木马软件才行,常见的防木马软件有ZoneAlarm、Norton Amti-Virus等。程序杀手木马就是关闭对方计算机上的这种程序,让其他的木马更好地发挥作用。
2常见的木马伪装的方式
(1)修改图标
现在已经有木马可以将木马服务端程序的图标改成HTML、TXT、ZIP等各种文件的图标,但是提供这种功能的木马还是很少见的,伪装也很容易识破。
(2)捆绑软件
这种伪装手段一般会把木马捆绑在安装程序上,当安装程序运行时,木马进入系统,被捆绑的文件一般都是可执行文件(exe,com一类的文件)。本人机器最近就遭受了这种木马的袭击,真的是深受其伤害。该木马伪装成腾讯电脑管家中的exe文件,每次开机启动就会修改IE主页,还会进行网页
(3)出错显示
当用户打开文件却没有任何反应,就很可能是一个木马程序。为了让用户更难以察觉,设计者就专门为木马提供一个出错显示功能,用户打开服务端程序时会弹出“文件已破坏,无法打开”。
(4)把木马伪装成文件夹
把木马文件伪装成文件夹图标后,放在一个文件夹中,然后在外面在套三四个空文件夹,很多人出于连续点击的习惯,点到那个伪装成文件夹的木马时,也会点下去,这样木马就成功运行了,识别方法:不要隐藏系统中已知文件类型的扩展名称即可。
(5)自我销毁
自我销毁是指安装完木马后,源木马文件自动销毁,这样服务端用户就
(6)木马更名
有的木马把名称改为“windows.exe”,还有的就是更改一些后缀名,如把dll改为数字“11”而非此处的英文字母“ll”。
(7)冒充图片文件
将图片伪装成图像文件,如照片等,只要入侵者扮成美女及更改服务端口程序的文件名为“类似”图像文件的名称,再假装传送图片给受害者,受害者就会立刻执行它。
在这里简单介绍一下EXE捆绑机和自解压捆绑木马。
黑客主要利用捆绑技术将一个正常的可执行文件和木马捆绑在一起。一旦用户运行这个包含有木马的可执行文件,就可以通过木马控制或攻击用户的计算机,EXE捆绑机可以将两个执行文件(EXE文件)捆绑成一个文件,运行捆绑文件等于同时运行了两个文件。它会自动更改图标,使捆绑后的文件与捆绑前的文件图标一样。在执行过程中最好将第一个可执行文件选择为正常的可执行文件,第二个可执行文件选择为木马文件,这样捆绑后的文件图标会与正常的可执行文件的图标相同。
随着人们安全意识的提高,木马、硬盘炸弹等程序的生存越来越成为问题,于是有些人就利用WinRAR自解压程序捆绑恶意程序。利用WinRAR制作的自解压文件,不仅可以用来隐蔽的加载木马服务端程序,还可以用来修改运行者注册表键值。还可以把这个自解压文件和木马服务端程序或硬盘炸弹用WinRAR捆绑在一起,然后制成自解压文件,不仅能破坏注册表,还会破坏大家的硬盘数据。
为了使得木马程序难以被各种杀毒软件查杀,就促使了各种加壳工具与脱壳工具的使用,加壳就是将一个可知性程序中的各种资源,包括EXE、DLL等文件进行压缩,压缩后的可执行文件依然可以正常运行,运行前先在内存中将各种资源压缩,再调入资源执行程序。加壳后的文件变小,代码也发生了变化,从而避免了被木马查杀软件扫描出来并查杀,加壳后的文件也可通过专门的软件查看是否加壳成功。而脱壳就是去掉木马外面的壳,脱壳后的木马很容易被杀毒软件扫描并查杀。
计算机病毒的特点:
(1)寄生性。计算机病毒寄生在其他程序之中,当执行这个程序时,病毒就起破坏作用。
(2)传染性。病毒程序代码一旦进入计算机并被执行,就会自动搜寻其他符合其传染条件的程序或存储介质,确定目标后再将自身代码插入其中,实现自我繁殖。
(3)潜伏性。一个编制精巧的计算机病毒程序,进入系统后一般不会马上发作,可以在一段时间内隐藏在合法文件中,对其他系统进行感染,而不被人发现。
(4)可触发性。可触发性是指某个事件或数值的出现,诱使病毒实施感染或进行攻击的特性。
(5)破坏性。病毒等到条件成熟后,便会发作,给系统带来严重的破坏。
(6)主动性。病毒的攻击是主动的,计算机系统无论采取多么严密的保护措施,都不可能彻底排除病毒对系统的攻击,而保护措施只是一种预防的手段。
(7)针对性。计算机病毒是针对特定的计算机和特定的操作系统的。
病毒的工作流程
(1)传染源。病毒总是依附于某些存储介质,如软盘、硬盘等构成传染源。
(2)传染媒介。病毒传染的媒介是由其工作的环境来决定,可能是计算机网络,也可能是可移动的存储介质,如U盘等。
(3)病毒激活。是指将病毒装入内存,并设置触发条件。一旦触发条件成熟,病毒就开始自我复制到传染对象中,进行各种破坏活动等。
(4)病毒触发。触发的条件多种多样,可能是内部闹钟,系统的日期,用户标识符,也可能是系统一次通信等。
(5)病毒表现。表现是病毒的主要目的之一。有时在屏幕上显示出来,有时则表现为破坏系统数据。
(6)病毒传染。病毒传染的第一步是驻留内存;一旦进入内存之后,寻找传染机会,寻找可攻击对象,判断条件是否满足,决心是否可以传染;当条件满足时进行传染,将病毒写入磁盘系统。
计算机中病毒后的表现
计算机中病毒通常有以下几种症状。
(1)计算机操作系统运行速度减慢或经常死机
(2)系统无法启动
(3)文件打不开或被更改图标
(4)提示硬盘空间不足
(5)文件目录发生混乱
VBS脚本病毒
VBS脚本病毒一般是直接通过自我复制来感染文件的,病毒中的绝大部分代码都可以直接附加在其他同类程序的中间。
VBS脚本病毒的特点
(1)编写简单。
(2)感染力大。
(3)破坏力大。
(4)传播范围大。
(5)病毒源码容易被获取,变种多。
(6)欺骗性强。
(7)使得病毒生产机实现起来非常容易。
VBS病毒的弱点
(1)绝大部分VBS脚本病毒运行时需要用到一个对象:FileSystemObject,具有局限性。
(2)VBScript代码是通过Windows Script Host来解释执行的。
(3)VBS脚本病毒的运行需要其关联程序W的支持,缺少W该病毒就会无法运行,具有依赖型。
(4)通过网页进行传播的病毒需要ActiveX的支持。
(5)通过E-mail传播的病毒需要OE的自动发送邮件功能支持,但是绝大部分病毒都是以E-mail为主要传播方式的。
常见的VBS脚本病毒传播的方式
(1)通过E-mail附件进行传播
病毒可以通过各种方法得到合法的E-mail地址,最常见的就是直接获取Outlook地址薄中的邮件地址,也可以通过程序在用户文档中搜索E-mail地址。
(3)通过局域网共享传播
局域网共享传播也是一种非常普遍并且有效的网络传播方式,为了局域网交流的方便一定存在不少共享目录,并且具有可写权限,这样病毒通过搜索这些共享目录就可以将病毒代码传播代码到这些目录之中。
(4)通过感染htm、asp、jsp、php等网页文件传播
病毒通过感染htm等文件,采用了和绝大部分网页恶意代码相同的原理,这段代码是病毒FSO、WSH等对象能够在网页运行的关键,并且势必会导致所有访问过该网页的用户计算机感染病毒。
(5)通过IRC聊天通道进行传播
病毒也可以通过现在广泛流行的KaZaA进行传播。将病毒文件复制到KaZaA的默认目录中,这样,当其他用户访问这台计算机时,就有可能下载该病毒文件并执行。这种传播方法可能会随着KaZaA这种点对点共享工具的流行而发生作用。
VBS脚本生成机
“VBS脚本病毒生成机”是一个傻瓜式的VBS病毒制造程序,程序向用户提供各项选择,自动产生需要的VBS脚本病毒。即使没有一点编程知识也可以制造出来一个VBS脚本病毒。病毒生成之后,可以使用修改文件名,使用双后缀的文件名,如“病毒.”等,然后通过邮件发送出去。在使用此软件制造生成病毒的同时,会产生一个名为“re”的恢复文件,如果不小心运行了病毒,系统不能正常工作,则可以运行它来解决。
如何防范VBS脚本病毒
防范VBS脚本病毒措施如下:
(1)禁用文件系统对象FileSystemObject。
(2)卸载Windows Scripting Host。
(3)在Windows目录中,找到WScri,将其更改名称或者删除,如果以后要用到,最好更改名称。
(4)要彻底防治蠕虫病毒,还需要设置一下浏览器。
(5)禁止OE的自动收发邮件功能。
(6)由于蠕虫病毒大多数利用文件扩展名做文章,所以要防范它就不要隐藏系统中已知文件类型的扩展名。Windows默认的是“隐藏已知文件类型的扩展名称”,将其修改为显示所有文件类型的扩展名称。
(7)删除VBS、VBE、JS、JSE文件后缀名与应用程序的映射
(8)将系统的网络连接的安全级别至少设置为“中等”,它可以在一定程度上预防某些有害的Java程序或者是某些ActiveX组件对计算机的侵害。
(9)杀毒软件的使用
手机木马分类
手机木马有很多分类,且功能各有不相同,既可以单独使用也可以几种木马同时使用,几种木马同时使用可以使木马的功能更加强大。这里列举几种常见的手机木马分类:
(1)远程控制木马:这类木马的主要功能就是通过远程主机控制用户手机,其数量最多,危害最大,是木马中功能最强的一种。它具有键盘记录、数据记载和下载、下载系统功能,以及判断系统信息等功能。并且会在“肉鸡”上打开一个端口,以保证目标主机能够被长久控制,这里“肉鸡”指已经被黑客控制的用户手机。
(2)破坏型木马:其主要用途就是破坏已经成功控制手机的系统文件,以造成系统崩溃或者数据丢失故障。破坏型木马的这一特点类似病毒。两者的不同点在于破坏型木马的激活不是受用户控制,而是受攻击者控制,传播和感染能力低于病毒。
(3)键盘记录木马:这类木马主要的就是记录用户的输入,随着用户手机一起启动。键盘记录密码就会记录用户在键盘上输入的内容和顺序,然后将键盘记录发送到攻击者的主机上。
(4)代理木马:代理木马就是攻击者入侵远程用户手机时的一个跳板。攻击者通过使用代理木马可以隐藏攻击的痕迹,以便不易被发现。通过代理木马,攻击者还可以在匿名的情况下使用Telnet、IRC等程序,从而隐藏自己的足迹。
(5)程序禁用木马:这是一类禁用用户手机程序的木马。它会关闭用户手机中的杀毒防护软件,如360手机助手、百度卫士等软件。手机中的防护软件一旦被禁止,其他类型的木马就能够更好地发挥作用。这就要求用户最好定期使用安全软件对系统进行木马查杀,清除系统中潜藏的程序禁用木马。
(6)DoS攻击木马:当黑客入侵一台用户手机在并植入DOS攻击木马之后,这部手机就成了黑客最有利的助手,黑客控制的手机数量越多发动DOS攻击成功的概率也就越大。
(7)邮件炸弹木马:手机一旦感染上这种木马,随机生成各种各样主题的邮件,对黑客指引的邮件不停地发送邮件,一直到对方邮件瘫痪而不能接收邮件为止。
手机木马攻击的原理
木马攻击的过程大体可以分为三个部分:配置木马、传播木马、运行木马。
(1)配置木马
攻击者在设计好木马程序后可以通过木马配置程序对木马程序进行配置,并根据不同的需要配置不同的功能,从具体的配置内容上来看,主要是为了实现以下两种方面功能。
①木马伪装:伪装是木马程序的一大特点,木马配置程序为了在服务端尽可能好地隐藏木马程序,会采用多种伪装手段,如修改图标、捆绑软件、定制端口、自我销毁等。
②信息反馈:木马程序在入侵用户手机后会向攻击者反馈用户的信息,木马配置程序将就信息反馈的方式或地址进行设置,如设置信息反馈的邮件地址、QQ号等。
(2)传播木马
木马传播过程中需要进行两项工作,一项是确定木马的传播方式,另一项是确定木马的伪装方式。既要让木马能成功顺利地传播到目标手机上,还要能够将自己隐藏起来。
①传播方式:传播方式主要有两种:一种是通过E-mail传播,控制端将木马程序以附件的形式夹在邮件中发送出去用户只要在手机上打开邮件中的附件系统就会感染木马;另一方面是通过软件下载的方式传播,一些非正规的网站提供软件看似正常,但很可能已经被捆绑了木马程序。用户在不知道的情况下下载软件后,只要开始运行这些软件,木马程序就会自动启动安装。
②伪装方式:木马常见的伪装方式有以下几种:修改图标、捆绑文件、出错显示、定制端口、自我销毁、木马更名。其中前三种方式在前面已经进行了详细的阐述,在这里就不予以详细介绍。
定制端口:因为客户端与服务器区通信的时候都是通过端口号识别固定服务,我们可以通过某一服务对应的端口号来识别正在进行的是何种服务。以前的木马程序都是采用固定的端口号来通信,用户就可以通过查看手机中的正在提供的服务的端口号来判断是否感染了木马,并且只要查一下特定的端口就知道感染了什么木马。为了克服这个缺陷,现在攻击者在设计木马程序的时候都加入了定制端口的功能。攻击者可以识别在控制端选用1024-65535之间的任何端口为木马端口,通过这种方式用户就很难识别哪一个端口为木马程序使用的端口。
自我销毁:木马的自我销毁功能就是为了不让用户发现原木马文件,因为用户在找到原木马文件后就可以根据原木马文件在自己的手机中找到正在运行的木马文件,这样木马就会很容易暴露,将源木马程序销毁,服务端用户就很难找到木马来源,在没有查杀木马工具的帮助下,就很难删除木马了。
木马更名:现在的攻击者在设计木马时大都允许控制端用户自由定义安装后的木马文件名,这样就很难判断所感染的木马种类了。
(3)运行木马
服务端用户运行用户或捆绑木马的程序后,木马就会自动安装,安装后就可以启动木马了。
常见的手机病毒
手机病毒就没有手机木马那么“温柔”了,它主要就是破坏用户的手机,接下来我们来了解一下常见的几种手机病毒。
短信病毒
“安卓短信卧底”是首款出现在Android手机中的病毒,它的主要功能就是窃取手机中的短信内容,造成用户隐私严重泄漏。“安卓短信卧底”出现后不久,手机安全机构又截获了他的变种,这个变种不但能够窃取短信,还能监控用户的通话记录。“安卓短信卧底”给用户带来的危害有以下两种。
(1)窃取隐私
攻击者在制造“安卓短信卧底”时,会对该病毒进行设置,用户手机一旦中毒,病读程序就会按照攻击者设定的方式来发送用户的短信和通信记录等隐私信息。
(2)自动联网
中毒后的手机会在用户不知情的情况下打开手机的联网功能,用户手机连接到网络后就可以利用邮件的形式向攻击者发送用户的隐私信息,造成用户隐私的泄露。
钓鱼王病毒
手机病毒中出现过一种叫做InS的“钓鱼王”手机病毒,这种病毒通过欺骗的方式使用钓鱼网站非法获取用户的账号和密码信息。因此提醒广大用户要谨慎打开不明短信中的链接,如果收到了银行发来的类似短信该立即通过电话或到营业厅确认信息的真伪。除此之外,用户还可以安装正规的手机杀毒软件,借以识别钓鱼网站,防止自己受骗。
手机骷髅病毒
手机骷髅病毒叫做LanPackage.A,又被称为彩信骷髅病毒、彩信炸弹、XXX彩信门。手机骷髅病毒通过网络下载传播,主要针对Symbian S603系列版本操作系统的智能手机,包括大部分诺基亚手机和部分三星手机。
手机骷髅病毒具有以下几个特点:
①手机骷髅病毒命名为“系统中文语言包”,容易迷惑用户。用户下载安装成功后系统会启动浏览器进入kai_xin***.com网站,这是一个正常的网站。
②手机中病毒后一般会表现为不停地自动联网、发送彩信,同时会向号码15810***754、137536***78等随机号码发送短信。
③手机骷髅病毒还会在后台下载、安装另一程序“设置向导”,该程序也会联网以消耗流量。
④手机病毒会使Activefile、TaskSpy等常用的文件浏览软件失效,并且会开机自启,使用户无法手动停止病毒进程。
⑤手机骷髅病毒还会终止程序管理进程,使用户无法卸载软件。
360手机中心的检测显示,感染手机骷髅木马后手机会出现以下几种情况。
①私自群发短信和彩信
②强制开机自启动
③无法正常卸载
④下载安装恶意插件:恶意扣费,恶意扣费软件通过控制用户手机私自发送大量短信、彩信,消耗用户的话费,同时还会强制连接网络,继续扩大自己的感染范围,消耗用户流量;隐私泄露,中毒后病毒会控制用户的手机将手机中的手机号码簿、短信、照片、视频等个人文件传给攻击者。除了上述两种常见的危害之外,如果下载安装的是一个卧底软件,完全有可能监听用户的通话、监控用户所有的操作,甚至通过GPS定位用户的行踪。