近期,360手机安全中心接到大量用户举报,反映手机话费余额急剧减少,手机通讯录经常出现自动发送短消息的记录,手机流量迅速减少,耗电量增加,使用户感到十分困惑。我们发现,这种症状与今年7月份爆发的“僵尸”木马极其相似,本次出现的是其变种,变种“僵尸”木马更加“智能”和有针对性,让用户防不胜防。目前360手机安全中心已经截获该系列全部样本,360手机卫士和360木马专杀均可彻底查杀“僵尸”系列木马。

“僵尸”系列木马目前主要有以下传播途径:

1.向已经感染木马的手机的名片夹好友发送短信,短信内容极其诱惑,如:张**私密照片、***走光偷拍等等,内附木马下载链接,点击后强制下载安装后无法正常删除;

2.通过蓝牙向用户发送木马安装包,安装包名带有诱惑性,如**加速器、系统插件等等;

3.向正常程序中植入木马,骗取用户下载。

“僵尸”系列木马的危害:

1.强制安装,安装过程没有提示并无法取消,安装后无启动图标和运行界面;

2.后台自动运行,无法关闭木马进程;

3.半夜私自联网,上传用户手机名片夹,短信,照片和视频;

4.半夜私自向手机名片夹中的好友号码发送带木马链接的短信;

5.后台下载安装同系列的其他木马,安装过程无提示,木马安装后自动运行;

6.木马无法删除,长期驻留在手机中。

专家为您详细揭秘

从现象上看,这批木马与7月份爆发的“僵尸”木马很相似,通过反编译逆向分析,发现这批木马在代码结构上与“僵尸”木马如出一辙,并在原有基础上有所延伸,此次出现的木马会自动判断手机环境,若手机中安装有安全软件,则暂时潜伏,发作时也多选在午夜及手机待机状态下,以防止被用户发觉。变种木马更加智能,隐蔽性更高,危害也更大,木马签名厂商为:Xiamen DeFangDa Qiye Co.Ltd.,此厂商专门制作木马和向正常软件中植入木马,请大家安装软件时注意甄别软件的证书信息。

证书:Xiamen DeFangDa Qiye Co.Ltd., MobileMarketUpdate 1.0, Symbian Signed ContentID,CN,Beijing

“僵尸”木马多伪装成系统组件的名,如Media Plug for Nokia、Software Update、Nokia Maps Plug等等,厂商伪装成Nokia,但证书是无法伪装的,请在安装时查看软件证书信息。

僵尸系列木马可对手机造成如下危害:

1.植入正常软件后台安装或以诱惑性的短信发送至用户手机,安装过程无界面,安装过程无法取消;

2.安装后自动后台运行,无法关闭其恶意进程;

3.后台自动联网上传用户名片夹,短信收件箱内容,盗取隐私并大量消耗流量;

4.后台下载安装同系列的“僵尸”木马,持续从多方面危害手机;

5.每逢深夜或凌晨时分,自动向名片夹中的联系人发送带有诱惑性文字的短信,附有木马下载链接,用户点击后即自动下载“僵尸”系列木马;

6.自动判断手机环境,恶意行为在手机中无安全软件或手机锁屏状态下执行;

7.“僵尸”系列木马互相守护,无法删除,长时间危害手机安全。