手机病毒防治模式分析

手机病毒防治模式分析　

常玲’，吴兴耀’，杜雪涛’，李友国　

（１中国移动通信集团设计院有限公司，北京１　０００８０；２中国移动通信集团公司，北京１　０００３２）　

摘　要　本文介绍了手机病毒的定义、特点和产生的危害，对现有的两种手机病毒防治方案进行详细的对比分析。　

关键词手机病毒；防治；用户行为分析；病毒体特征检测　

ＴＮ９２９．５　文献标识码Ａ　文章编号　１００８—５５９９（２０１２）０５—００６３—０５　中图分类号

１　引言　

随着移动通信产业的高速发展，中国手机用户迅速　

增加。而近几年由于３Ｇ时代的来临，智能手机的应用　

也逐渐普及，智能手机类似一部小型电脑，可以浏览网　

页、下载软件等，于是手机病毒便通过互联网业务、彩信、　

短信、蓝牙等多种途径传播并且日益泛滥，据专业手机　

杀毒厂商统计，２０１０年新发现手机病毒种类超过历史总　

我复制的一组计算机指令或者程序代码，就像生物病毒　

一

样，计算机病毒有独特的复制传染能力。由此可见，　

传染性是计算机病毒最重要的特征，是判断一段程序代　

码是否为计算机病毒的依据。　

由于手机病毒运行在智能手机中，也相当于是运行　

在“小型计算机”上的程序，因此可以借鉴计算机病毒　

的定义对它进行定义和判断。手机病毒是指编制或者在　

手机程序中插入的破坏手机功能或者毁坏数据，影响手　

和，２０１　１年发展势头迅猛。如果不尽快采取有效防范措　

施，手机病毒产生的冲击将会越来越强，给通信产业甚　

至整个社会带来危害。　

机使用，并能自我传染的一组手机指令或者程序代码。　

２．２手机病毒的特点　

传染性：当一段手机代码或程序具备自我传播感染　

性则为手机病毒。传染性手机病毒的传播途径有网络下　

２手机病毒简介　

２．１手机病毒定义　

载、存储卡、恶意链接、彩信、蓝牙等。例如“短信海盗”　

病毒通过彩信自传播，被感染的手机会通过彩信不断向　

通信录中的号码发送彩信，彩信内容通常是本人的短信　

目前国内没有对手机病毒进行明确定义，国家针对　

计算机病毒定义如下：　

计算机病毒是指编制或者在计算机程序中插入的破　

坏计算机功能或者毁坏数据，影响计算机使用，并能自　

收稿日期：２ｏ１　２—０２一Ｏ６　

内容和病毒链接，当用户点击链接并安装后就会被感染　

并向下一用户不断传播。　

非授权性：当一段手机代码或程序在未明确提示用　

户或未经用户许可下发生恶意行为，均为手机病毒。未　

・

２０１２年第５期・　６３　

经授权的恶意行为包括恶意扣费、资费消耗、浏览器劫　

持、系统破坏（包括破坏系统功能、消耗系统资源、制　

造系统垃圾、破坏常用软件功能等）、内置后门软件等。　

例如恶意扣费软件、卧底软件等。　

控制性：若一段手机代码或程序具备外部主控端，　

引起业务质量下降，造成用户网络感知差，影响企业品　

牌。如果手机病毒感染手机后，强制手机不断地向其所　

在通信网络发送垃圾信息，大量受感染的手机发送的垃　

圾信息就会形成大量的数据，势必导致通信网络信息堵　

塞和局部的手机无线分组网络资源受损，影响业务质量　

和用户感知。　

则为手机病毒。外部主控端对被感染手机的控制命令有　

删除、升级、发送短信等。例如毒媒、垃圾短信发送者等。　

针对性：一种手机病毒并不能感染所有的系统软件　

或者应用程序，其攻击方式具有较强的针对性。　

隐蔽性和可触发性：有些手机病毒在感染用户手机　

目前手机病毒的黑色产业链正在逐步形成，不法的　

服务提供商与部分山寨机厂商合作，内置后门，强制用　

户订购业务或者盗取用户信息，垃圾广告商与手机病毒　

编写者勾结，利用被控终端传播广告，而手机病毒编写　

后并不立即发作，而是隐匿于系统中，或者经过伪装的　

病毒程序还可能被用户当作正常的程序而运行，只有在　

满足其特定条件时才能够被激活，并且具有传染性和破　

坏能力。　

者又为不法的服务提供商、部分山寨机厂商提供软件工　

具，因此手机病毒防治工作已经势在必行。　

３手机病毒网络侧防治方案　

３．１手机病毒网络侧整治目标　

目前手机病毒传播的主要方式有两种，一是诱骗用　

户点击手机病毒下载链接，使用户手机感染。另一种是　

２．３手机病毒的危害　

由于人们在日常生活中对手机的依赖和缺乏对手机　

病毒的足够重视和防范措施，手机病毒影响范围日益扩　

大，给用户和运营商都造成极大的危害。　

对用户而言，危害主要表现在个人信息泄密、经济　

通过彩信及邮件的附件进行传播，利用了彩信、邮件的　

业务特性。因此在Ｐｓ域内有两个整治目标就是对指向　

手机病毒的ＵＲＬ、ＩＰ地址的请求进行拦截和对彩信、　

邮件中所含附件进行查杀，同时在ＣＳ域内控制包含手　

机病毒链接的短信传播。　

针对以上的目标可以分别制定防治方案，例如彩信　

中心安装防病毒模块方案或者垃圾短信拦截系统控制恶　

意ＵＲＬ传播方案。以上方案仅能解决通过彩信或者短　

损失和影响用户手机正常使用等方面。（１）某些手机病　

毒感染用户手机后可能会窃取包括通信录、短信、邮件、　

日常安排、各种网络账号、银行账户密码等，这些信息　

如果被别有用心者窃取，将会对用户造成不可估量的损　

失。例如短信海盗、Ｘ卧底等病毒窃取短信记录；（２）　

某些手机病毒感染手机后，通过短信、彩信进行病毒传　

播，消耗大量通信费用。例如“手机骷髅”病毒大量发　

送彩信，一般造成的资费损失都在２００元以上。更有甚　信传播的手机病毒，不能根本改善手机病毒的传播现状，　

但是可以作为补充方案。　

者，某些手机病毒可以在用户对手机没有任何操作的情　

况下，悄悄拨打国际长途或高额的付费电话，让用户承　

受较大的经济损失。（３）某些手机病毒会直接损害用户　

目前移动网络现有系统的数据采集功能强大，可以　

有若干个数据采集点，例如Ｇｎ口或者Ｇｉ口的分光数据，　

各个业务系统采集到的各种数据来源，包括彩信、短信、　

ＧＰＲＳ、ＷＡＰ、手机邮箱、用户终端信息、不良信息监　

手机软硬件，造成手机不能正常工作，影响人们的日常　

生活。例如某些手机病毒可能侵占手机内存或者修改手　

机系统设置，某些病毒通过带有病毒程序的短信传播，　

只要用户查看带有病毒的短信，手机就立刻自动关机。　

对运行商而言，手机病毒使网络资源被大量浪费，　

测系统数据、垃圾短信监测系统数据等。对采集到的海　

量数据，可以对其进行分析、过滤，检测手机病毒传播　

情况，并对检测到的手机病毒进行封堵查杀。如何对采　

・

２０１　２年第５期・　

集到的数据进行分析检测，有两种方法：基于用户行　

的蔓延情况。　

此种方法中需要对采集到的数据进行深度通信报文　

解析，以便提取出手机病毒有效特征与特征库相比对。　

为分析和基于病毒特征检测，详细介绍请见３．２节和　

３．３节。　

因此，目前手机病毒网络侧防治方案可以分为三种　

类型：单纯基于用户行为分析、单纯基于病毒特征检测　

和基于用户行为和病毒特征检测相结合。　

３．２用户行为分析法　

用户行为分析法已经在互联网业务中广泛应用。互　

联网用户行为分析，是指在获得网站访问量基本数据的　

其中深度通信报文解析涉及到ＤＰＩ技术，主要是利用　

ＤＰ１分析技术，从二进制流内重组数据，并针对应用层　

协议解码进行深度检测。　

病毒体特征检测法在现网中已有成功案例，例如“彩　

信病毒Ｃｏｍｍｗａｒｒｉｏｒ”的追查。首先通过彩信中心分　

离出彩信体中的附件文件，筛选出手机支持的特殊格式　

文件，然后对相关附件通过病毒特征库进行扫描，侦测　

出彩信病Ｃｏｍｍｗａｒｒｉｏｒ蔓延情况。　

３．４用户行为分析法和病毒特征检测法对比分析　

手机病毒网络侧防治方案中的两种分析方法，用户　

行为分析法和病毒体特征检测法的对比分析如下：　

情况下，对有关数据进行统计、分析，从中发现用户访　

问网站的规律，并将这些规律与网络营销策略等相结合，　

从而发现目前网络营销活动中可能存在的问题，并为进　

一

步修正或重新制定网络营销策略提供依据。　

互联网用户行为分析是指发现用户使用网络资源所　

呈现的规律，当将此种分析方法应用到移动网络的手机　

病毒防治工作中时，行为分析法的基础就是手机病毒软　

件行为，如非法订购、信息泄露等都具有共性行为特征。　

移动网络现有系统的数据采集功能强大，可以为二次数　

据挖掘提供支撑，例如Ｇｎ口的分光数据或者通过接口　

（１）在三种形式病毒的发现能力方面，用户行为分　

析法优于病毒体特征检测法。用户行为分析法对感染手　

机病毒用户的异常行为进行分析，发现手机病毒感染情　

况，这种实现原理可以发现所以形式的手机病毒，包括　

病毒式、木马式和厂家内置后门式。而病毒体特征检测　

法主要由采集的海量数据中恶意ＵＲＬ下载手机病毒体　

对其进行分析研判，找出病毒特征码，这种实现原理不　

能发现厂家的内置后门。　

（２）在已知未知病毒的发现能力方面，用户行为分　

方式从各个业务系统采集到的各种数据来源。从采集到　

的数据中可以提取到的样本举例如下：（１）同类行为用　

户超过门限数值；（２）播的同个手机可执行文件数量超　

过门限数值；（３）上网数据包包含异常特征字等等。从　

采集数据中得到的用户信息可以用于分析感染手机病毒　

析法优于病毒体特征检测法。用户行为分析法对感染　

手机病毒用户的异常行为进行分析，不同的手机病毒　的受害用户行为，得到的手机病毒ＵＲＬ可以获得手机　

病毒样本，用于研判工作。　

手机病毒防治方案中的行为分析主体是由于手机病　

毒导致的异常用户行为，因此在实际应用中可以通过手　

机病毒典型案例研究总结出各种异常用户行为，形成特　

征库。之后对网络上采集到的相关数据根据特征库进行　

其感染用户的异常行为具有共同性，只要用户异常行　

为特征库中有此特征，即使该病毒是最新出现在移动　

网络中的病毒，也可以被发现。而病毒体特征检测法　

的病毒特征库中保存的病毒特征码则是在提取到病毒　

样本，并对其进行分析研判后才能得到。因此对刚开始　

扫描，检测出网络上手机病毒的蔓延情况。　

３．３病毒体特征检测法　

病毒体特征检测法的原理是对已掌握的手机病毒建　

立手机病毒特征库，对网络上传送的文件或者数据流根　

蔓延的未知病毒不具备检测条件，只能被动等待通过投　

诉发现并分析。　

（３）在外部病毒特征库依赖程度方面，病毒体特征　

检测法对外部病毒特征库的依赖程度要远高于用户行为　

分析法。因为在新型手机病毒层出不穷的情况下，外部　

６５　

据特征库进行全量、快速扫描，检测出网络上手机病毒　

・

２０１２年第５期・　

安全公司难以快于运营商获取病毒的行为特征。然而在　取病毒的特征值，使用该特征值对磁盘上的所有或部分　

病毒体特征检测法中，完全依靠现网监测很难及时发现　

文件进行扫描。病毒扫描引擎是不会经常改动的，杀毒　

所有手机病毒，需要外部安全公司提供的手机病毒库进　

行必要的补充。　

（４）在外部病毒特征库的借助程度方面，病毒体特　

软件为了查杀最新出现的病毒，病毒特征库需要及时更　

新。在发生重大病毒疫情时，病毒库也应该通过网络及　

时更新。杀毒软件也可以使用在线杀毒的方式，即病毒　

特征库不保存在本地手机中，而是保存在与移动互联网　

征检测法优于用户行为分析法。因为借助外部病毒特征　

库资源，病毒体特征检测法可以快速检测现网病毒的蔓　

相连的某台服务器中，使用这种方式可以节省本地空间，　

延情况。而用户行为分析法则需要首先对感染手机病毒　

并且保证病毒库及时更新。　

用户的异常行为进行分析，建立用户异常行为特征库。　

（５）在特征库的实时性方面，用户行为分析法优于　

５手机病毒网络侧与终端侧防治方案对比分析　

病毒体特征检测法。用户行为分析法在确定某种异常用　

户行为是由于某种手机病毒导致后便可将其加入到用户　

表１　网络侧防治方案与终端侧防治方案对比　

异常行为特征库中。而病毒体特征检测法即使提取到病　

网络侧防治方案　终端侧防治方案　

无需用户介入　需要用户自行安装，并具备一定　

毒样本后，还需对其进行分析研判，提取特征码后将其　

安全知识　

加入到病毒特征库中，整个过程需要耗费较多时间。若　

不消耗用户侧资源　消耗手机资源　

对病毒研判能力较弱，对外部安全公司提供特征库的依　

可覆盖全网用户　单机防护，无法全网控制　

赖性更强，特征库的实时性就更差。　

免费　大部分需要收费　

病毒无法干扰系统运　病毒可以通过关闭杀毒软件、改　

用户行为分析法在对手机病毒的发现能力以及特征　

行，无法躲避监测拦截　变自身文件特征来逃避查杀　

库的实时性等方面都优于病毒体特征检测法，然后病　

运营商可掌控范围大　运营商可掌控范围小　

毒体特征检测法借助外部病毒特征库资源，可以快速　

截在网络内　可以查杀在终端侧运行的病毒　

检测现网病毒的蔓延情况。因此将病毒体特征检测法　

传播的病毒　…………　”　～……　

作为行为分析检测技术的辅助手段配合使用，能够起到　

手机病毒网络侧防治方案与终端侧防治方案相比，　

较好的效果。　

如表ｌ所示，运营商针对网络侧方案的可掌控范围及能　

力要更大，并且网络侧方案不需终端用户介入，不消　

４手机病毒终端侧防治方案　

耗用户侧资源，可以覆盖全网用户，病毒无法干扰网　

络侧防护系统的正常运行，也无法躲避防护系统的监　

手机病毒终端侧防治方案即在用户的终端上安装能　

测与拦截。　

够查杀手机病毒的软件。杀毒软件中使用最为常见的是　

而相对来说，运营商针对终端侧方案的可掌控范围　

特征值杀毒法。在对某个病毒进行分析之后，提取出其　

及能力要小很多，终端侧防护系统即安装杀毒软件属于　

不同于其它程序的代码特征，然后以此特征作为扫描程　

单机防护，无法全网控制，因为全网用户人数众多，无　

序扫描特定病毒的代码标志。特征值可以是一段连续的　

法要求每位用户都能够自行安装杀毒软件，并且也不能　

固定字符串，也可以是几段中间插有其它不确定字符的　保证每位用户都能够正确使用杀毒软件。而且杀毒软件　

不连续的字符串等。由于杀毒软件需要对成千上万的病　

需要消耗用户手机的资源，并且大部分都需要收费。同　

毒进行查杀，因此需要将其分成两个部分：病毒扫描引　时，手机病毒可以通过关闭杀毒软件和改变自身文件特　

擎和病毒特征库。病毒扫描引擎负责从病毒特征库中获　

征等方式逃避杀毒软件的查杀。　

６６　

・

２０１２年第５期・　

６结束语　

综上所述，虽然网络侧防治方案相对于终端侧防治　

方案具有一定的优势，例如无需用户介入，接入网络即　

机制造商对产业链上的各个环节均造成了影响，各个环　

节之间应该相互配合，共同完成防病毒工作。尤其是移　

动运营商在网络侧的监测与查杀工作在整个病毒传播过　

程中起着至关重要的作用，终端用户的防范机制和手机　

能得到保护，不消耗用户侧资源，可以覆盖全部中国移　

制造商的自律与安全技术的提升也是不可缺少的部分。　

手机病毒是可防、可控、可治的，随着智能手机的广泛　

应用，手机病毒技术快速发展，对其的防范也必将是一　

项长期性的工作。　

动移动用户，可全网统一拦截病毒，免费向用户提供病　

毒检测服务，病毒无法躲避检测拦截，无法干扰网络侧　

防治系统运行，但是网络侧防治系统最终是无法清除用　

户侧手机内的病毒，因此采用以网络侧为主、终端侧为　

辅的手机病毒防治模式更有利于解决目前中国移动面临　

的挑战。　

通过手机病毒的防治工作，主动发现手机病毒，可　

以减少手机病毒引发的客户投诉，大量节省处理投诉的　

参考文献　

【１】徐威，方勇，吴少华，吴毓书．手机病毒的攻击方式和防范　

措施Ｉ　Ｊｌ＿信息与电子工程，２００９，（１）：６６　７０．　

【２】黄丹，桑梓勤．移动通信网络病毒防治方案浅析【Ｊ１．光通信　

研究，２００８，（２）：５９－４０．　

人力成本，并且有效清除了由于手机病毒引发的网络资　

源占用，大量节省网络资源，同时也可以为中国移动和　

整个通信行业赢得良好声誉。　

智能手机带来了便利的业务，也带来了潜在的危机。　

手机病毒的出现和某些病毒的较大范围传播，对普通用　

户和移动运营商都提出了挑战。移动运营商、用户和手　

【５】江洁．手机病毒的发展及对策【ＪＪ．信息通信，２００７，（５）：７０—７２．　

【４】周虹．手机病毒的危害及其防范【ＪＪ．湖南广播电视大学学报，　

２００７，（２）：６４　６５．　

【５】马晓艳．针对５Ｇ手机病毒的产业链分析【Ｊ１．计算机安全，２００８，　

（１２）：７６－７８．　

Ａｎａｌｙｓｉｓ　ｏｆ　ｔｈｅ　ｍｏｂｉｌｅ　ｐｈｏｎｅ　ｖｉｒｕｓｅｓ　ｐｒｅｖｅｎｔｉｏｎ　ｍｅｔｈｏｄｓ　

ＣＨＡＮＧ　Ｌｉｎｇ　，ＷＵ　Ｘｉｎｇ—ｙａｏ　，ＤＵ　Ｘｕｅ—ｔａｏ　，ＬＩ　Ｙｏｕ－ｇｕｏ　

（１　Ｃｈｉｎａ　Ｍｏｂｉｌｅ　Ｇｒｏｕｐ　Ｄｅｓｉｇｎ　Ｉｎｓｔｉｔｕｔｅ　Ｃｏ．，Ｌｔｄ．，Ｂｅｉｊｉｎｇ　１０００８０，Ｃｈｉｎａ；２　Ｃｈｉｎａ　Ｍｏｂｉｌｅ　Ｇｒｏｕｐ　Ｃｏ．，Ｌｔｄ．，Ｂｅｉｊｉｎｇ　１０００３２，Ｃｈｉｎａ）　

Ａｂｓｔｒａｃｔ　

Ｔｈｅ　ｐａｐｅｒ　ｉｎｔｒｏｄｕｃｅｓ　ｔｈｅ　ｄｅｆｉｎｉｔｉｏｎ　ｏｆ　ｔｈｅ　ｍｏｂｉｌｅ　ｐｈｏｎｅ　ｖｉｒｕｓｅｓ，ｉｔｓ　ｆｅａｔｕｒｅｓ　ａｎｄ　ｈａｒｍ，ａｎｄ　ｇｉｖｅｓ　ｔｈｅ　

ａｎａｌｙｓｉｓ　ｏｆ　ｔｈｅ　ｍｏｂｉｌｅ　ｐｈｏｎｅ　ｖｉｒｕｓｅｓ　ｐｒｅｖｅｎｔｉｏｎ　ｍｅｔｈｏｄｓ．　

Ｋｅｙｗｏｒｄｓ　

ｍｏｂｉｌｅ　ｐｈｏｎｅ　ｖｉｒｕｓｅｓ；ｐｒｅｖｅｎｔｉｏｎ；ｕｓｅｒ　ｂｅｈａｖｉｏｕｒ　ａｎａｌｙｓｉｓ；ｖｉｒｕｓ　ｂｏｄｙ　ｆｅａｔｕｒｅ　ｄｅｔｅｃｔｉｏｎ　

中国联通宽带用户达５８２９万成固定业务收入主流　

截至２０１　２年第一季度末，中国联通宽带用户总数达￣１Ｊ５８２８．８Ｔｊ户，季度新增２６３．７万户。２０１　１年中国联通固定宽带业务收　

入同比增长１８．１％，首次超过固定话音业务，已成为固定业务收入主要来源。　

・

２０１２年第５期・　６７