近日,PPC手机用户大规模感染“小媒体”木马病毒,该木马会搜集手机私密信息后台悄悄发幽灵短信到13430345424,还会通过GPRS把信息发送到www.xiaomeiti.com网站。
“小媒体”木马危害性
“小媒体”手机木马会搜集手机系统的各种私密信息,包括手机主人姓名、手机号码、设备序列号、SIM卡唯一序列号、其他硬件特征等信息, 悄悄通过短信发送到指定手机号码,或通过GPRS把更多信息发送到指定网站。这些网站会把用户私密信息进行分析, 并高价出售给不法分子。有了这些信息, 不法分子可以对感染病毒的手机主人进行短信诈骗、电话骚扰、甚至将来可以进行远程控制。因为手机木马可以自动悄悄更新并下载更具危险性和破坏性的病毒程序。总之,感染了此木马的手机就像一只待宰的羔羊(黑客专业术语叫做“肉鸡”),后患无穷!!!
“小媒体”木马程序简要分析
1、执行文件:
木马程序执行文件名称mservice.exe, 备份文件_data.dat等(扩展名一般为dat和bmp等);
2、传播方式:
由原木马开发者手工附加在其他第三方应用软件的CAB安装包中,然后通过发帖介绍软件下载等方式使得其他手机用户下载; 该木马不会自动传播到其他手机或设备;
3、激活方式:
安装后第三方CAB软件后立即后台执行, 手机重启后立即后台执行
4、更新方式:
该木马定期链接到其网站mobile.xiaomeiti.com,尝试下载zip升级包
5、窃取信息内容:
手机主人名称字串、
手机IMSI号码(SIM卡唯一号)、
手机IMEI号码(手机设备唯一号)、
手机操作系统主/次/修改 版本号、
手机屏幕尺寸、
手机物理内存大小、
手机系统语言、ID、
手机型号、平台信息
6、窃取信息发送方式:
(1)、GPRS网络或通过USB/蓝牙链接计算机网络,发送至mobi.xiaomeiti.com
(2)、后台悄悄发送短信到13430345424等号码
(通过短信发出的应该是IMEI/IMSI/VERSION等较短数据, 未经最终确认)
7、木马制作者目的:
* 搜集大量用户信息, 统计整理后贩卖给手机制造厂商、手机广告商、银行、保险甚至不法分子;
* 嵌入一个后门在用户手机中, 随时可以更新成更具危害性的木马程序(如窃取通信录、窃取短信、窃取手机银行帐号、拨打信息台电话等等)
“小媒体“木马病毒清理方式:
1、打开手机系统“资源管理器”,进入“windows\startup”目录删除“mservice.lnk”快捷方式;
2、重新启动手机;
3、打开“资源管理器”,删除“mservice.exe”文件;
4、目前可用专杀工具:手机密盾(免费)、小媒体木马扫描工具(PC版,免费)、网秦(收费)等;
“小媒体“木马病毒盈利方式:
1、小媒体网站开发并提供木马程序;
2、安排专人(如wm2008)将后门软件捆绑到各种手机软件的安装包中,并发到各大论坛和下载站点;
3、手机用户下载各种软件(如证券、游戏等软件)并安装, 此时木马自动运行, 并定期搜集手机机密信息悄悄发送到指定手机,或根据需要自动联网下载特定的软件安装在用户手机上;
4、小媒体网站将根据收到短信计算木马传播者的功劳, 并给予报酬, 鼓励更多传播行为;
5、小媒体将手机用户信息进行统计分析, 编订成册, 高价卖给广告公司或不法分子;
下面是“小媒体”网站广告宣传页面和盈利模式:
