肢解病毒——S60手机病毒原理揭秘

手机帮

2008年5月5日 第17期

智能手机之所以“智能”,正是因为它拥有类似电脑一样,且扩展性和开放性都非常强大的操作系统。既然有了操作系统,当然也有犹如附骨之蛆的病毒。随着智能手机的逐渐普及,智能手机病毒也开始大量蔓延。特别是针对现在使用人数最多的Symbian S60操作系统的智能手机,出现了如“小媒体”、“Cabir”、“骷髅”等危害极大的病毒。这里笔者就要为大家简单分析一下中毒特征最明显的“骷髅”病毒的原理。

病毒为何猖狂

其实手机病毒的本质和电脑病毒一样,都是程序,只不过是运行在手机的操作系统上而已,作为今天主角的“骷髅”病毒当然也不例外。“骷髅”病毒也称为skull病毒,被该病毒感染后的手机如图1所示,中毒手机的所有系统程序图标被替换为骷髅并失去原有的链接。其实“骷髅”病毒的原理并不复杂,该病毒的安装程序SIS文件是由一大堆AIF文件和APP文件组成的,这些AIF文件的名字与手机系统程序的名字一样,AIF文件中包含了程序的图标、路径等信息,有点类似电脑上的LNK文件。如果安装了带有该病毒的SIS程序,就会在手机的C盘或E盘下生成一个伪AIF系统文件,这个文件的相对路径和文件名都与手机系统盘Z盘下的AIF文件相同,如C:/system/apps/mce/mce.aif,由于S60手机优先读取E盘或C盘的AIF文件,所以真正的系统文件Z:/system/apps/mce/mce.aif就不会被读取,这一点很像电脑病毒经常采用的镜像劫持技术。而读取伪AIF系统文件的后果,当然是系统程序图标被替换为骷髅并失去原来的功能。

17-c11-2.jpg
图1

另外要说明的是,如果你将手机Z:/system/apps/下的任意一个文件夹,如mce拷贝到C:/system/apps或E:/system/apps下,重启手机。你会发现mce所代表的信息程序打不开了,手机提示系统错误。虽然手机从C盘或者E盘中,读取的是从手机系统盘中原封不动拷贝过来的真正系统文件,但由于路径不正确,同样不能正常运行。

了解它才能战胜它

照这样看来,制作类似“骷髅”的手机病毒,根本用不到汇编、VC等程序语言。只要将手机中Z:/system/apps/下任一文件夹中的文件插入到一个SIS安装文件中,这类似于电脑上的一些病毒将自己插入到setup.exe的安装文件中。这样用户在安装这个藏有病毒的SIS程序时,就会将这些伪系统文件一并安装,从而会造成某个或者多个系统程序无法使用。而事实上也真有好事者通过这种方式制作这种手机病毒。下面笔者将带领大家更加深入,了解好事者们如何制作这些恶作剧式的小病毒。

他们在制作病毒时利用了一款名为sistool的软件(下载地址:http://www.cpcw.com/bzsoft),以及任意一个SIS安装文件,如QQ2007。

1.先将手机系统Z:/system/apps/中任意一个文件夹,如负责短信功能的mce文件复制到电脑上备用。

2.运行sistool,点击左上角文件夹图标,打开刚下载的QQ2007的SIS安装文件(图2)。

17-c11-3.jpg
图2

3.关键步骤:在设备序号中填写101F6F88,产品序号中填写Series60ProductID。然后点击左下角“添加文件”按钮向SIS文件中插入我们的“病毒”文件,这里的“病毒”文件当然就是刚才从手机Z盘中复制过来的mce文件夹。在选中所有文件后点击打开即可将“病毒”插入了。接着逐个点击刚才插入的“病毒”文件,再点击有“DIR”字样的按钮为插入的“病毒”选择安装路径,都填入C:\system\apps\x或E:\system\apps\x,当这个SIS文件被运行安装时,“病毒”就会被安装到相应的位置。x是代表你所选择的文件夹的名字,此处为mce。

小提示:注意在你所填写的路径和病毒文件名中不能有中文,否则无法打包。

4.最后一步:点击“打包SIS文件”按钮,将制作好的带有“病毒”的SIS文件重新打包,保存的文件名也不要有中文。这样一个带有“病毒”的SIS安装文件就做好了。如果有人运行了这个SIS安装程序,待他重启手机后,“病毒”就会发作,他就再也无法使用信息功能了!

既然是一个恶作剧的小病毒,它的删除方法当然也非常简单:只须用文件管理软件进入C:\system\apps\或E:\system\apps\,将“病毒”文件夹删除就可以了(这里是mce文件夹),在删除之前要将文件夹中所有文件的隐藏、系统、只读属性去掉。不过如果病毒制作者将SIS安装文件解包,并将解包得到的AIF文件和APP文件拷贝出来,将这两个文件改名为文件管理软件的名字,如smartfileman.aif和smartfileman.app,再将这两个文件用相同的方法插入到SIS文件中。这样中毒手机就无法进行文件管理,当然也就无法删除病毒了,只有格式化手机后才能恢复!

编后

通过上面的讲解相信大家已经明白了“骷髅”病毒的原理,以及类似病毒的制作过程。虽然通过这个方法制作出来的不是真正意义上的病毒,但“病毒”的整个制作过程能让我们更加深入了解手机病毒,明白手机病毒的发作原理和中毒后的表现,从而更好地预防手机病毒的感染。

大家都知道手机病毒的传播也基本是通过SIS安装文件完成的,特别是在我们揭露了S60证书破解之后,安装SIS格式的软件没有了任何限制,这使得手机完全处在无保护状态。所以小编建议大家不要随便安装没有安全保障的软件。不仅如此,还应该在不使用蓝牙功能时,将蓝牙关闭,并且在手机中多安装一个文件管理器,以防不测。