2014年 Jun月 15日
10年前的今天,首个手机恶意软件诞生—时间分毫不差!
在2004年6月15日,准确地说是莫斯科时间晚上7点17分(正好在10年前),计算机安全领域开启了一个全新的时代。我们首次发现了针对智能手机而开发的恶意软件。
它就是Cabir,通过无安全保护的蓝牙连接传播,感染所有使用塞班系统的诺基亚设备。随着这一发现被公之于众,人们终于知道除了针对计算机而开发的恶意软件外(这一点众所周知,但对于为数极少的隐士和僧侣,我持保留意见),还有针对智能手机的恶意软件。是的,消息一经公布,众多用户对此半信半疑—”我的手机被病毒感染了?别开玩笑了。”大部分人一时半会根本无法接受这一事实(有些则根本茫然不知)。但很快,我们的分析师们就将Cabir问题解决了。为什么我们将首款恶意软件命名为Cabir?为什么我们要在莫斯科总部建立一间特殊的屏蔽安全房间?Cabir是如何被F-Secure的一名员工终结的?最近在公司内网的一次访谈中,这些问题被一股脑儿地抛给了卡巴斯基首席安全专家Aleks Gostev,我想在这里有必要与你们一起分享一下,因为想要从他嘴里打听点什么并非易事…
顺便说一下,就在我们想使用两台设备对恶意软件进行分析时,发生了意想不到的状况:
…下文内容更精彩
-Cabir在10年前首次出现。当时手机恶意软件的整体状况如何?
10年前,几乎不存在什么手机恶意软件。我记得当时在2004年初的时候,我们正在举办一场国际新闻发布会,在场有一名记者问我首个手机病毒将在什么时候出现。我肯定地告诉他,会在明年会议开始前出现。果不其然,几个月后首个手机病毒出现了…
我们的一名shift病毒分析师收到了一个不同寻常文件,其运行的平台显示未知。他不得不寻求他的同事Roman Kuzmenko的帮助来分析这可疑的目标文件。Roma自然是最佳的人选,因为他对新鲜事物总是充满好奇,对解开一些最古怪的”未解之谜”颇为在行。正如我们预想的一样,他仅仅花了2个小时即解开了所有谜题,这个可疑的文件的真实身份是针对塞班操作系统的病毒,在ARM处理器上运行。且这个病毒仅存在于移动电话-尤其是诺基亚品牌。
那时,我们的专家们无法立即了解这一病毒实际的危害性,因此我们不得不开始运行测试。首先我们需要有一台诺基智能手机,但事实证明这根本就是个艰巨的任务!在当时,如此”先进”的手机可不是像现在那么普及:)。与此同时,我们的反恶意软件实验室继续对这一病毒进行分析,并很快发现…炸弹!他们最终发现这一病毒的主要特征是有能力命令蓝牙协议和传输文件。它看起来是一种极为有效的”疾病”传播手段-基于病毒的”疾病”…
-你提到当时你们手上并没有诺基亚手机,这是否是说你们缺乏测试移动设备恶意软件的设备?
事实的确如此。当时,我们手上缺少一整套完整的智能手机,因此无法快速进行测试,时至至今,这一情况依然没有什么改变,但移动电话病毒已然不再存在了。
当时我们的分析师所成功分析出来的病毒(后来被命名为Cabir-参见下文)正是历史上的首个针对移动电话的病毒,此后犹如黄河决口一发不可收拾,病毒作者不断编写出针对智能手机的恶意代码,且以惊人的速度传播。当年的年末,情况变得愈发不可收拾,很显然我们确实需要组建一个全新部门来专门分析手机病毒,尤其是在我们发现这些病毒与计算机病毒完全不同之后。
因此我们组建一个全新的部门,由我自己担任部门负责人。之后,另一名分析专家Denis Maslennikov也加入了我的部门,我们共同做出了一系列的决定,其中即包括采购当时市面上的所有可能会被恶意代码攻击的移动设备,即使只是理论上。这其实相当滑稽。从不喜欢购买新设备的我们,竟然一口气竟买了那么多?我们获得了当时所有使用塞班系统的移动设备,以及所有基于Windows、黑莓等系统的电话。至今,我们依然不断地将最新上市的移动设备添加到我们的”手机仓库”中,一旦一种新的移动威胁出现,我们即需要使用不同移动设备迅速进行测试。
-那么,为什么将首个手机恶意软件命名为Cabir呢?原因在于,安全列表上的截屏显示该文件包含一个不同的名字。
噢,那完全是另外一个故事了!截屏上显示出病毒作者为它起的名字—Caribe。然而,在反病毒行业,我们通常舍弃作者的命名而起一个新的名字,因为这样才不会助长病毒作者的气焰…噢,并且还能对所有被我们征服的病毒树立我们的权威!
就这样,我们开始了”真正的高级分析”工作-为病毒起名-就在这时,我们的同事Elena Kabirova走进了办公室。她的姓氏与病毒的名字十分接近,天底下尽有如此巧合的事情,我们赶忙问她是否同意以她的姓氏来命名首个移动电话病毒,从而永远载入史册。接下来的事情不用说大家都知道了:)。
-那么,在缺乏有针对性手机的情况下,您是如何解开这一病毒的真实身份的?
就像大多数感染病毒的情况,我们收到一份电子邮件,其中没有任何内容,只有一个包含病毒文件的附件。邮件发到了newvirus@kaspersky.com,这是我们专门为这一病毒而创建的。我们很熟悉这封邮件的发送人,他的名字赫然列在我们的数据库中…准确地说他并不是一名病毒作者,但却和”那群人“有些关系。偶尔,他会发给我们一些由欧洲病毒作者编写的新恶意软件样本。通常,他发来的所有东西最后事实证明都是较为严重的病毒,新且独一无二,因此我们立即明白了这一定是个”大家伙”。果不其然,很快它就被包含在恶意代码内的字符串确认(包括即将提到的29A组织)。显然它是一段恶意程序,作者则是声名狼藉且多年从事病毒编写的国际网络犯罪组织-29A。当时,我们并不知道他是否还向其他几家反病毒公司发送了同样的邮件,但这一切都无关紧要了:因为我们是唯一能够破解这一文件的公司:)。
-后来又发生了什么?
在对这一病毒进行了初步分析以后,我们终于明白了我们需要两台运行塞班系统的智能手机而不是一台,原因在于病毒使用蓝牙将其自身从一台手机传送至另一台。因此我们首先将病毒复制到第一台手机上,在第二台手机上以”可发现模式”开启蓝牙功能,瞬间,蓝牙发送请求被接受,第二台手机随即收到这一文件。在收到并运行这一文件后,第二台手机自动开始在附近搜索所有具有蓝牙功能的设备。因此,我们确定该病毒是通过蓝牙功能散布和传播病毒的。随即,我们发布了一篇新闻稿告诉整个世界首个移动电话病毒就此诞生。但这仅仅是个开始…
在我们的办公室,这一病毒的功能及其随后的变形向我们提出了一个很大的实际问题。毕竟,我们不是在真空中工作,而是一个典型的工作环境中,我们身边同事都有可能在他们诺基亚手机上接受这一文件。我们意识到因为我们的病毒测试而造成身边同事的手机处于危险中,因为他们手机被感染的可能性非常大!这促使我们挑选一间特殊的房间,配备铁屏蔽功能,如此我们才可以安全地对手机恶意软件进行测试。
在这间房间内,移动覆盖范围为零,所有通讯尝试都被阻止:这一切都是为了防止病毒传播到房间以外的区域。这间特殊的房间证明其不仅是测试手机病毒的必备工具,也成为了最吸引媒体同事前来的地方,所以我经常带他们去参观一番。现在,手机恶意软件的情况已和十年前大不相同,像Cabir这样年代久远的病毒早已不复存在了,因此我们再也不需要这样一间房间了,这一改变使得媒体部大为失望:)。
-你提到这一恶意软件由某一群病毒作者编写,再透露一些细节吧。
这是历史上最具传奇色彩的一群病毒作者。他们创造了大量高级且独一无二的”作品”。这群病毒作者来自全世界各个角落,但成员不断更换,而其中主要的骨干成员则来自西班牙和巴西。如果我记得没错的话,他们其中的一名叫做Vallez的成员创造了Cabir。29A组织并非现代标准意义上的网络犯罪分子,他们是一群病毒作者通过创造恶意软件以测试和演示新的病毒技术。他们的编写动机来自”思想意识”而非单纯为了一己私利。他们在许多方面创造了”第一”:第一个创造出巨型病毒,第一个创造出针对Windows 64平台的病毒…29A组织的每一件”作品”都是一次突破,一经创造即被其它病毒作者所运用,然后再传到网络犯罪分子手中。而且我们必须知道在2004年,网络犯罪才刚刚兴起不久。当时大部分创造出来的病毒程序仅仅是为了好玩,作者只是为了…’展示他们自己的能力’。这一组织直到2009年前后才”退出江湖”,尽管在此之前其活跃程度已大大减弱。组织的一些成员在西班牙、巴西和捷克相继被捕-而其他成员则继续编写恶意软件。我们之所以了解内情,是因为我们依然能够偶尔遇见一些熟悉的代码—非常像出自他们的手笔或富有他们的个性特征。
-你提到后来的Cabir变形。Cabir是如何发展的?
创造Cabir的29A组织不仅仅是因为其”作品”的精密性而著名,还因为它发行自己的电子杂志。在Cabir首次出现的几个月后,该组织发布了关于蠕虫和一小段执行代码的信息,一段时间后每周都出现Cabir的新变形。有一名极其渴望出名的病毒作者坚持不懈地向我们发送Cabir病毒的变形,唯一的要求就是让我们赋予它一个不同的名字。他不断地一次又一次地给我们回复邮件,这一情况持续了整整一年的时间!—设法将他创造的变形体载入手机病毒史册。最终如他所愿:我们的确将他所创造的一种变形体归类为单独的一个系列;因为我们真的不得不这样做。
-为什么F-Secure公司与Cabir病毒有着密切的联系?
Cabir的危害范围相当有限,但在某些场合下则危害范围巨大。那是在2005年,在芬兰举办了一项田径竞标赛。比赛当日,体育场的看台上挤满了来自世界各地的观众。现在来看,Cabir的破坏范围极小,因为蓝牙的传送范围仅20米。但在挤满人群的体育场看台?…:)。更糟的是,诺基亚手机产自芬兰,因此在芬兰当地非常普及!不用说,Cabir轻松地就”进入”体育场—很短的时间内,成千上万观众的移动电话受到了感染。
当时的情况是这样的,当运动员在跑道上飞奔的同时,Cabir病毒也同样从一个看台”跑向”另一个看台,最终每一台诺基亚手机都难以幸免。我知道,你根本无法想象这样的情景!总之,最后Cabir通过蓝牙传入了看台上来自F-Secure一名员工的移动电话内(问题来了,为什么他会通过蓝牙接收未知的文件?:)。几天后,这家芬兰当地的反病毒公司(F-Secure)及时地为体育场的观众提供安装蓝牙扫描程序,使他们可以使用这一程序来检查自己的手机是否感染了病毒。请点击链接—阅读:哈哈,上当了:)—我想现在你应该知道Cabir和F-Secure之间的联系了。
-除了通过蓝牙自我复制以外,这一手机病毒还做了什么?
-如果你想问的是造成多少直接经济损失,我可以告诉你,完全没有任何损失。它只是快速地消耗电量—2到3个小时就没电了—因为不断搜索蓝牙连接地址对手机来说是极大的负荷。如果说到经济损失的话,后来的一些手机病毒(除了发送付费彩信以外)造成的危害远甚于Cabir。例如,在Cabir之后出现的一种著名的Comwario病毒,在一座西班牙城市中感染所造成的经济损失竟达到数百万欧元。
-今天,我们谈论了一种独特的手机威胁—它的传播方式以及背后的”编写小组”。但我们还未讨论的是当时如何保护手机平台的问题。关于这一点,你真的没有什么想说的吗?
-好吧,当时的情况并没有那么糟,因为即使在发现针对Palm操作系统(用于Palm掌上电脑)的Cabir病毒之前,众多反病毒公司已经开发出针对这一平台的保护程序。但最终开发的热情逐渐消退,新的病毒也没有再出现,许多人只是不再去想Palm操作系统病毒和相关保护程序了。(还有,Palm并非智能手机,也并不太流行—相比于当时非常流行的移动电话而言那可是差远了。)但由于发现了Cabir,我们重拾了之前所学到的相关知识,经过改进后,很快便在市场上推出了一款针对手机平台的反病毒软件。从那以后,越来越多的手机病毒开始出现了。同样也是从那时起,我们也对我们的手机保护程序进行了改进和升级。你说我没什么可说的?不可能!