返回新闻列表

首款手机恶意软件:卡巴斯基实验室如何发现Cabir

        十年前,卡巴斯基实验室报道发现了首款专门针对手机的蠕虫病毒Cabir。不同于现代的恶意软件样本,Cabir并不具有大量恶意功能。但是,它却用感染手机这一事实创造了历史。

        卡巴斯基实验室专家于2004年6月初首次邂逅Cabir。当时,公司的一位病毒分析师刚值完夜班,正要与一名同事交接。就在此时,他注意到一封带有附件的空白邮件。这一附件十分可疑:尽管它是一个文件,通过快速分析却很难确认其究竟针对何种软件平台编写。但是,它绝非针对Windows或Linux,因为卡巴斯基实验室分析师常常使用这些平台。

        “那一晚正是由Roman Kuzmenko值夜班”,卡巴斯基实验室首席安全专家Alexander Gostev回忆道。“由于对复杂威胁快速准确的分析能力,他当时已从其他卡巴斯基实验室分析师中脱颖而出。就在他开始观察可疑文件后,Roman很快便发现该文件针对塞班系统而编写。而塞班系统是一种在诺基亚手机上运行的手机操作系统”,Gostev补充到。

        进一步的分析则显示,该文件可通过蓝牙自我复制到另一手机上。最终,受感染手机的电池将在极短的时间内迅速耗尽。这便是这款新发现的恶意软件的唯一功能,并且它几乎不具恶意性。但是,它自我复制到其它手机上的能力却令卡巴斯基实验室专家建立了一个专门的测试室,用以分析此类威胁。

        “我们隔壁办公室的同事开始抱怨某种‘病毒’感染了他们的手机。最终,我们决定为这间办公室配备一层特殊的覆盖层,阻隔所有无线信号。而这间办公室就成为测试新兴手机恶意软件样本的专用地点”,Gostev说。

        专家们还发现,Cabir恶意软件的代码提到了“29A”——这是一群臭名昭著的恶意软件写手。他们开发出所谓的概念病毒或者病毒,用以证明特定计算机子系统存在漏洞,抑或某系统或设备有可能遭受感染。

        “这群人以开发出令网络安全界轰动一时的恶意软件而知名。Cap、Steam和Rugrat等臭名昭著的恶意软件均由29A开发”,Gostev表示。

        除了开发概念恶意软件,29A还定期发行其自己的电子杂志。在其中一期,29A公布了蠕虫病毒及其源代码的部分片段。这篇文章证实,恶意软件可以被创建用于攻击世界上最受欢迎的手机平台。而这在当时的网络安全界掀起了轩然大波。文章也激励其他病毒写手进一步发展这一构想。

        就在29A的杂志发行后不久,网络中出现了Cabir的所有变体。

        “Cabir仅仅是一个开端。在发现它不久之后,我们也清楚地看到,手机威胁将成为一大严重问题,需要特殊的解决方法。为此,我们在卡巴斯基实验室内部创建了一个全新的研究部门,全心全意投入到手机威胁的研究中”,Alexander Gostev表示。

        凭借在病毒分析方面的速度与准确性,Roman Kuzmenko不仅赢得了首个手机病毒发现者的荣誉,还获得一台诺基亚手机。他的同事们则开玩笑说:“这台手机将发现和分析更多新型病毒。”

        继Cabir之后,又有数百个不同的塞班设备病毒被发现。在新的手机操作系统(如安卓系统)创建之后,针对这一平台的新兴恶意威胁数量开始迅速减少。而新操作系统的高度普及,也为网络罪犯们制造了更大的盈利空间。在发现Cabir十年之后,卡巴斯基实验室收集到的手机恶意软件独特样本已逾34万,其中超过99%的样本针对安卓系统。

        有关Cabir发现、命名、传播与在网络安全行业影响力的更多详情,请访问尤金·卡巴斯基的博文

        欲了解手机恶意软件近十年内的进化历程,请查看卡巴斯基实验室专门制作的信息图表