威胁

随着巴西世界杯足球赛的持续升温，全世界球迷都争相目睹全球最优秀球员们的精彩表现。但这时正不巧，就在你十分想看的那场比赛即将开打之时，而你却发现周围没有电视机，你可能会去网上找个网站，在工作时间一边工作一边用另一个浏览器观看精彩的比赛。 但我想预先给你个忠告–根据巴斯基实验室研究员Dmirtry Bestuzhev所述，许多宣称提供世界杯比赛流媒体服务的网站，只要你点击进去，这些网站将会危害你的系统并盗取你的信用卡信息。 唯一安全观看世界杯比赛的方法事实上只有两种：在电视机上观看或通过已认证的有线服务供应商观看 这些恶意程序通常都会要求你下载可能是它们专有视频播放器插件的驱动；下载安装完成后，它们可能会提供比赛视频，当然不提供任何比赛视频的情况也不在少数。所下载的插件内起码会包含一些广告软件，这些软件会时刻监视你在网上的一举一动，不断向你发送广告的同时耗尽你系统的资源，当然这已经算是最好的情况了。 而其他的一些恶意程序会告诉用户，如果想随时观看比赛的话，就必须下载它们的程序–并提供信用卡信息。如果说你对之前的广告软件毫不在乎的话，我想这个会让你引起警惕。此类网站全部为虚假网站，它们的唯一目的就是从你身上偷钱。 请勿相信任何宣称提供世界杯流动媒体服务的广告。 唯一安全观看世界杯比赛的方法事实上只有两种：在电视机上观看或通过已认证的有线服务供应商（在美国有ESPN.com）登陆后观看。美国用户可以在Univision.com上免费观看比赛。 任何其他认为会提供世界杯流媒体服务的网站非常有可能含有有害软件。 世界杯流媒体服务事实上可能只是一种恶意软件。 当然，在我们身边不可能只有存在与世界杯有关的网络诈骗，网络犯罪分子时刻关注全球重要事件动向，在巴西举办的世界杯当然不可能错过，这可是那些”窃贼”大发横财的好机会。对于所有网上与世界杯足球赛有关的促销活动、程序以及广告，网络用户需要时刻保持警觉，不可轻易相信。

众所周知，超过98%的智能手机恶意软件将安卓系统作为攻击目标。安卓系统之所以成为众矢之的原因在于：其竞争对手苹果iOS系统的用户只能从管理严格的应用商店下载IOS应用，而苹果恰恰在防止恶意软件进入其应用商店方面功能强大。然而，苹果仅仅将注意力放在那些缺乏确切目标，旨在感染所有用户的大众化恶意软件上。如果有人想对你个人进行暗中监控，则情况完全不同。就算你不是什么犯罪分子、有影响力的商业人士又或是什么政治活动家，一样会成为他人监视的目标。可能你会因为一些其他的标准而被列入”可疑”或”引起关注”的名单中，接下来我们将就这一问题展开讨论。因此，某些间谍组织也很可能会感染你的iPhone手机。 在一些国家，其各个政府机构有能力渗透到任何一台被认定可疑的计算机或智能手机，以达到”监控”的目的或收集证据。这些机构通常都是使用所谓的”合法”间谍软件以实现监控。有一些跨国公司专门开发和销售此类软件。在这些公司中，有一家开意大利公司HackingTeam发了远程控制系统（RCS）软件aka Galileo。卡巴斯基实验室长期监控RCS基础设施，并在此前恰巧碰到了来自RCS的Windows恶意软件”植入体”（ implants）。从恶意文件中发现众多疑点显示在智能手机上的确存在”植入体”，但我们并没有机会在互联网上直接捕获它。就在最近，卡巴斯基实验室在与来自公民实验室（Citizen Lab）的Marquis-Boire合作研究中发现了恶意软件的最新变异体。这些全新的病毒样本事实上是智能手机木马，能够同时在安卓和iOS系统上运行。 iOS恶意软件 在近期RCS研究中的这一重要新发现是一种用于感染iPhone手机的方法。其感染途径每次都不尽相同，可能会包括社交工程欺诈、漏洞利用以及鱼叉式网络钓鱼等。恶意软件通过潜伏在计算机内，偷偷地开展一些典型的间谍活动，例如按键记录以及在受害人将智能手机联网同步iTunes后进行间谍活动。如果间谍软件操作者想要感染一部智能手机，其内在的木马病毒会偷偷地对联网的iPhone手机进行越狱，随后再安装手机间谍部件。这时候，iPhone会自动重启，而这显然说明你的手机哪里出问题了。每一款恶意软件都相当”狡猾”，它会使用多个逻辑触发以小心进行侦查，例如只有在靠近攻击者特定Wi-Fi网络或在手机充电时才会进行间谍活动。它并不会过于耗电，因为这可能让受害人产生警觉，意识到手机可能出什么问题。 #卡巴斯基实验室发现#间谍#木马病毒，能够同时在#安卓和#IOS系统上运行。 RCS手机木马能够开展你所能想到的各种间谍活动，包括位置报告、拍照以及对短信、WhatsApp和其他即时通讯软件进行监控，当然还有窃取联系人信息等其他间谍行为。 当然，攻击者要想入侵一部特定的iPhone手机，依然还存在一些限制性条件。首先，将入侵的iPhone手机必须运行”能够越狱”的iOS系统版本。对于目前大多数的版本来说，已知的越狱方法都不适用，但一些老的版本则存在漏洞。其次，还需要 iPhone手机在越狱时无密码锁定。然而，同时符合上述两个条件的手机并不在少数，而间谍软件操作者无疑拥有大量在iOS上运行的木马病毒。 受害人 在卡巴斯基实验室和公民实验室合作开展的最新调查显示，受害人名单中包括了一些激进分子和人权拥护者，当然还少不了新闻记者和政界人士。然而，对于某些受害人，其成为目标的原因尚不明了。最明显的一个例子是一名英国普通的中学历史老师也赫然出现在受害人名单之中。 绝大多数已发现的RCS控制服务器架设在美国、哈萨克斯坦、厄瓜多尔、英国以及加拿大。卡巴斯基实验室首席安全研究员Sergey Golovanov这样说道：”在某一国家架设服务器并不表示说这些服务器的使用者是所在国的执法机构。这只能说明RCS使用者将服务器部署在他们能控制的地区—这些地区发生越境法律问题的风险很小且服务器被没收的概率也很低。 保护 为避免感染风险，卡巴斯基实验室的专家们给出了如下建议：第一，不要手机越狱；第二，经常地将你设备上的iOS系统升级到最新版本。此外，在计算机上运行一款强大的安全软件同样能够极大地降低计算机受病毒感染的风险。

就在十年前，我们发现了首例针对智能手机编写的病毒（是手机诺基亚N-Gage吧？）。此病毒被命名为Cabir，它为恶意软件分析人员、作者和普通用户打开了一个全新的病毒世界。下面是关于这个有十年历史之久的病毒的一些趣闻。 1.此病毒之所以被命名为Cabir，是因为它的发音类似于病毒体内找到的”Caribe”字符串，同时也是取自卡巴斯基实验室的员工Elena Kabirova。很巧的是，我们在反病毒实验室讨论此病毒的命名问题时，她刚好进来，而她的姓氏恰好和Caribe很像，所以…… 2.Cabir专门在2004年最流行的一款智能手机上传播 － 基于塞班系统的诺基亚设备。 3.感染此病毒的唯一渠道是通过蓝牙连接。在上下班路上、餐厅就餐、听音乐会时或举办体育赛事期间，手机都极易被感染。其中Cabir最大规模的一次感染发生在芬兰首都赫尔辛基举办的世界杯田径赛期间。 4.为了防止手机不被Cabir感染，用户须关闭蓝牙，或者将切换到”隐藏”模式。 5.卡巴斯基实验室分析人员有意搜罗了两部诺基亚智能手机，以研究这种肆虐的病毒 －在2004年可算是高端产品。从那时起，卡巴斯基实验室就开始有计划地购买每一种型号的流行手机，以研究针对各种不同手机平台的恶意软件。 卡巴斯基实验室回顾了检测到的首个#智能手机#病毒 － Cabir 6.卡巴斯基实验室在原来的办公楼专门设了一间”防射频室”，蓝牙和其他无线电波均无法穿透这间办公室的墙壁。研究人员在房间内进行实验时，完全不用担心会感染其他员工或访客的手机。 7.在发现Cabir之前几个月，有记者曾问过卡巴斯基实验室首席恶意软件研究员Alex Gostev，为什么没有手机病毒。Gostev当时回答说，一年左右时间内就会出现手机病毒。事实证明，他的预测完全正确。 8.从技术角度来说，Cabir并不是首个手机病毒。在它之前，已经出现了一些针对掌上电脑的病毒，比如针对Palm操作系统的Phage病毒（circa 2000）。但Cabir是第一个严格意义上的针对手机的病毒。 9.Cabir是由一家叫做29A的国际病毒黑客组织编写的，该组织素以开发各种复杂、新颖的病毒而闻名。29A成员对外公布了Cabir代码段，这导致其他病毒作者相继开发出了多种变形。 10.向卡巴斯基实验室发送Cabir病毒样本的家伙，实际上同时还向五到六家领先反病毒公司发送了该样本。但卡巴斯基实验室是唯一一家迅速破解此代码的性质，并随即将检测此代码的功能添加入反病毒数据库的公司。这个棘手的难题是由Roman Kuzmenko在值夜班的时候解决的（还记得吗？反病毒实验室的工作时间是7天24小时），为此公司奖励了他一部使用塞班系统的全新诺基亚智能手机。 更多详细内容，请浏览尤金中文博客。

世界杯开幕只剩两周的时间了，与自然灾难、社会变革、体育赛事等所有国际性事件一样—在世界杯上各支球队奋力争夺大力神杯的同时，网络黑客也会层出不穷。 这类威胁不仅仅是销售假球票和假彩票这样常见的低水平诈骗，而是又玩起了老把戏，即发布钓鱼网站和攻击，以便使用恶意程序感染系统。其中许多网站的外观看上去很像合法网页，甚至会使用以”https”开头的URL，https标记一般表示这是值得信任的安全网站，可以共享个人数据和财务数据。有些网站甚至提供免费获取门票的机会，并向用户显示包括实际住址在内的用户个人资料（这些是从其他网站盗取的），证明自己是合法网站。其中有一个网站提供所谓的可下载门票，但实际上这是一种恶意形式的银行木马，这种木马病毒能窃取与用户网银数据相关的敏感数据。 卡巴斯基实验室指南：世界杯期间免受恶意软件攻击 1. 认真阅读要访问的站点，确保站点是安全的，即便是之前定期访问的站点也不例外。最厉害的山寨钓鱼网站的相似程度超乎你的想像。 2.请注意，以”https”开头的URL不一定是安全网站，黑客们知道怎样搞定这样的URL。 3.不要信任来自不明发件人的电子邮件，对于这类电子邮件，除非能够验证其来源的真实性，否则切勿点击邮件中的链接或下载附件。 4.运行的系统务必装有最新的反恶意软件程序。 一家国际足联相关的钓鱼网站提供所谓的可下载门票，实际上这是一种恶意形式的银行木马。 虽然你无法掌控下个月会发生什么，但你的计算机能否在世界杯期间不受攻击则完全取决于你。

新出现的勒索软件开始瞄准苹果用户，目前受害者主要是澳大利亚苹果用户。据称，被感染用户会在主屏幕上收到一条警告消息，要求用户支付50和100美元来解锁受影响设备。 据报道，最早发现这类感染的用户称，是自己的iOS和OSX设备发出”手机丢失”的提示音，这是通过”查找我的iPhone”功能发出的报警声。查看手机屏幕时，用户看到屏幕上显示一条消息：”手机被Oleg Pliss所黑。若要解锁，请通过Moneypack/Ukash/PaySafeCard向helplock@gmx.com帐户转帐100美元/欧元，已发送代码2618911226。 黑客是怎样设法锁定受影响设备的尚不清楚，但大家一致认为黑客是窃取了对用户iCloud帐户的访问权，进而劫持了手机本身。到底谁是Oleg Pliss，是不是真实存在这个人尚不可知。 勒索软件属于一类恶意软件，它能锁定被感染设备，要求用户支付费用后方可解锁。在某些情况下，恶意软件只是让计算机看上去不能用，或者是在用户与其应用之间设置了某类锁定程序。而另一些情况则与CryptoLocker类似，这类勒索软件会加密被感染设备上的重要文件，并要求付费获取专用密钥，才能对这些文件解锁。 根据勒索软件的要求付费通常被视为是不明智的举动，因为用户实际上根本不知道是否付费后获得的密钥能够用于解密。这也是我们通常建议定期创建数据备份的其中一个原因。如果最近在外部硬盘或某些云服务上备份过所有数据，则只需回滚计算机或者重新安装操作系统就能解决问题。 新出现的#勒索#恶意软件瞄准#苹果用户 据《悉尼先驱晨报》报道，昆士兰、新南威尔士、西澳大利亚、南澳大利亚、维多利亚地区的iPhone用户成为此次事件的受害者，另有几则报道称，新西兰用户也受到了类似攻击。到目前为止，美国和欧洲的用户似乎暂未受影响，但如果此问题扩散到其他大洲，我们也绝不会感到意外。 Threatpost.com网站的Chris Brook表示，最近针对Adobe、eBay及其他目标的攻击导致加密的用户密码遭到泄露。如果这些密码以某种方式得到解密，并且用户在多个服务上使用了同样的密码，则很容易在强力攻击中被用于访问iCloud等在线帐户。显然，受影响的用户是将相同密码用于了多个帐户。这些攻击之间是否相关尚不清楚，但之前，因密码泄露而导致的数据外泄（包括已知和未知的）都造成了其他地方的在线帐户泄露。 如果攻击依赖于iCloud帐户访问权，则iCloud服务的双重认证功能可提供相当可靠的防御。事实上，现在可能是时候为iCloud帐户启用双重认证了。你可以点击这里看一小段视频屏，其中清楚显示了该如何开始设置流程（我们的视频只包含实际启用双重认证之前的内容，但其余部分我想你们能搞定）。

还记得我们曾提到过CryptoLocker勒索软件非常危险的新闻吗？现在，勒索软件出现一种全新变体将安卓用户锁定为目标（起码会让人联想到CryptoLocker）。众所周知，CryptoLocker是对用户的关键计算机文件进行加密，然后以解密为条件用户向勒索钱财。考虑到安卓所占的市场份额，还有以安卓设备为目标的恶意程序样本的广泛传播，出现新的变体并不令人意外。 勒索软件是黑客用来锁定被感染计算机，并以此为条件向用户勒索钱财的一类恶意软件。在某些情况下，恶意软件只是让计算机无法使用。但另一些恶意软件，比如CryptoLocker，是加密被感染计算机上的重要文件，然后要求用户缴费来获取解密这些文件的专用密钥。CryptoLocker还算诚实，对自己的意图直言不讳；但还有许多勒索软件则是假冒执法机构向用户发出警告。警告中通常声称在用户计算机上发现了某类非法内容，必须缴纳罚款才能解锁计算机。 对于这种情况，其实是负责不同种类勒索软件的一组犯罪分子（称为Reveton）发布类似于CryptoLocker的恶意软件来感染安卓移动设备。 这种勒索软件到底在多大程度上与令人厌恶的CryptoLocker（以台式机为目标）有关系尚不清楚，但不管制作者是谁，显然是在玩CryptoLocker的旧把戏，这是属于犯罪性质的某类营销骗局。 为”Kafeine”公司工作的一位知名安全研究人员发现了这种新型恶意软件，并在自己的博客Malware don’t need Coffee中记录了此恶意软件的信息。他发现，安卓设备用户连到感染了此恶意软件的域后，即会被重定向到色情站点，该站点中部署了一些社交工程，目的是骗用户进入包含此恶意软件的应用文件。 但好消息是：除非用户实际上亲自安装了此恶意软件，否则不会被感染，这就是为什么我们推荐只安装来自合法Google Play商店的应用。 “锁定程序非常有效，”Kafeine在此恶意软件的说明中写道。”用户可以在主屏幕上继续操作，但所有操作都失效。无论是启动浏览器、调用应用还是执行”列出活动任务”，都会弹出锁定程序。” 这种恶意软件的应用文件伪装成一个色情应用，用户需要下载才会被感染。如果用户启动此应用，随即会显示一个警告屏幕，通知用户被控在手机上浏览或传播色情内容。 此消息还会通知用户，须通过MoneyPak支付300美元的罚款，否则可能会面临5到11年的监禁。 Reveton一伙发布的工具包版本具有多种变体，受害用户遍及30多个国家，包括美国、英国、法国、德国、澳大利亚和西班牙。 这种勒索软件到底在多大程度上与令人厌恶的以台式机为目标的CryptoLocker有关系尚不清楚，但不管制作者是谁，显然是在玩CryptoLocker的旧把戏，这是属于犯罪性质的某类营销骗局。这个情况着实让人感兴趣，因为从中可以看出网络犯罪分子是如何花样百出，利用合法的商业做法来获取最大利润的，当然这得改天再谈了。

在发现恼人的Heartbleed bug短短数周之后，像你我这样的普通网民可能需要关心一下另一个看似普遍的问题，这个问题无法轻易给出答案。这个问题就是”隐蔽重定向”bug的准确定义，并于近期由新加坡南洋理工大学数学系的王晶博士公布。这些问题是在流行的互联网协议OpenID和OAuth中发现的；前者在您使用来自谷歌、Facebook和LinkedIn的现有登录信息来登录网站时使用，后者是在您授权网站、应用程序或服务使用您的Facebook/G+账号而非真正输入您的密码并登录第三方网站时使用。这两个协议通常结合使用，但事实证明，这可能会导致您的信息泄露。 威胁 我们在Threatpost的朋友针对这一问题给出了更具技术性的解释，并顺带提供一个原始研究链接，但我们会省略不必要的细节，只说明可能发生的攻击场景和后果。首先，用户访问一个恶意钓鱼网站，其中出现典型的”使用Facebook账号”登录的按钮。钓鱼网站可能酷似流行的第三方服务或将自己伪装为一个全新服务。一旦您点击该按钮，则会出现一个逼真的Facebook/G+/LI弹出窗口，提示用户输入自己的登录名和密码信息以授权上述（并且可能有声誉的）服务来访问他们的用户配置文件。最后，使用不当的重定向方式，将使用该配置文件的授权被发送到不正当（钓鱼）网站。 首先，用户访问钓鱼网站，并尝试使用Facebook账户或其他OpenID提供商账户登录。 在当天结束的时候，网络罪犯收到一个适当的授权（OAuth token），利用原始应用程序拥有的任何权限来访问受害人的配置文件——最好的情况下，只是访问基本的用户详细信息；最坏的情况下，可读取联系人、发送消息等内容。 这一bug已被修复？事实并非如此 这个威胁不会很快消失，因为修复必须在提供商端（如Facebook/LinkedIn/谷歌）和客户端（第三方应用程序或服务）同时执行。OAuth协议仍处于测试阶段，各个供应商使用不同的手段措施，并依据抵御上述攻击的能力而各有不同。LinkedIn在修复方面处于更有利的位置，因采取了更为严格的处理措施：即要求第三方开发人员提供适当重定向的”白名单”。到目前为止，每个使用LinkedIn授权的应用程序或安全或依然无法运行。而Facebook面临的情况则有所不同，因为其所拥有大量第三方应用程序，并且这些应用可能使用更早版本的OAuth执行。这就是为什么Facebook的代表告诉王晶，”无法在短期内修复的原因”。 此外，还存在众多似乎易受攻击的其他供应商（查看以下图片），因此如果您使用这些服务登录某些网站，则必须采取行动。 您的行动计划 对于最谨小慎微的用户来说，最可靠的解决方案是在未来数月放弃使用OpenID和这些便利的”使用……登录”按钮。您可能会受益于增强的隐私性，但使用社交网络账户登陆将导致您线上行为被更有效地追踪，并使越来越多的网站可以读取您的个人基本数据。为了避免因登录各种网站而不得不记住几十甚至上百个不同密码，您可能最终会使用有效密码管理器。当今的大多数服务都配有多平台客户端和云同步，以确保您能在自己不同的设备上访问您所有密码。 对于谨慎的用户来说，最好的解决方案莫过于在今后几个月放弃使用Facebook/谷歌账号登录。#OpenID #CovertRedirect 然而，如果你打算继续使用OpenID授权，并不会发生什么直接的危险。你只需要保持高度警惕，避免任何网络钓鱼诈骗，它们的通常手法是首先向您的邮箱发送骚扰邮件，或者在Facebook或其他社交网络上提供吸引眼球的链接。如果您使用Facebook/Google等账号登录到某些服务，应确保您使用手动输入的地址或书签打开此服务的网站，而不是点击您的邮件或者消息中的链接。仔细检查地址栏，避免访问粗制滥造的假网站，且不使用OpenID注册新服务，除非您100％肯定相应服务信誉良好且登录的是正确网站。此外，请在您所有设备上使用安全浏览解决方案，如卡巴斯基安全软件多设备版，以防止浏览器访问危险站点，包括网络钓鱼网站。 这只是一个为谨慎起见而采用的普通防范练习，每位互联网用户应每天进行这样的练习。网络钓鱼的威胁分布广泛而危害巨大，它会导致各类数字财产损失，包括：信用卡卡号和电子邮件登录账号等。OpenID和OAuth中出现的”隐蔽重定向”bug只是让您更有理由进行防范——没有例外。

金融诈骗仍是恶意软件感染计算机后可能会执行的最危险的一类活动。所谓的“网银木马“能够注入到用户与网银之间的通信，借此操纵用户资金，并使用户付款重定向到犯罪分子的银行帐户。为了应对这一威胁，大多数银行利用了一种叫”双重认证“的方法，此认证通常借助SMS来完成：用户试图在线转帐时，必须使用密码来核准交易，此外还有一个一次性密码（移动交易验证码）会以文本消息形式发送到用户的智能手机。而犯罪分子开发出了一种方案，能够感染用户的计算机和智能手机，同时窃取密码和交易验证码。这种方案最初由Zeus/ZitMo恶意软件duo引入，事实证明实施起来非常有效。最近针对安卓系统的恶意软件Faketoken运用了同样的概念。很不幸，此软件也能成功造成感染。在卡巴斯基实验室最近发布的《2014年一季度IT威胁发展状况》报告中指出，Faketoken在20大移动设备威胁排名（按流行程度）中位列13，占到所有感染事件的4.5%。 Faketoken的感染机制实际上非常令人感兴趣。犯罪分子利用社交工程来感染智能手机。在网银会话中，基于计算机的木马病毒利用网络注入把请求种子植入被感染网页中，在此网页中可下载据称是执行安全交易所必需的安卓应用，但实际上链接会转至Faketoken。移动威胁一旦搭载上用户的智能手机，犯罪分子就能利用基于计算机的木马来访问受害者的银行帐户，Faketoken支持木马收集交易验证码，并将受害者的资金转入自己的帐户。 Faketoken网银恶意软件攻击的手机遍及55个国家，包括德国、英国和美国。#卡巴斯基#报告 根据报告，大多数手机银行威胁都是在俄罗斯设计并最初应用的。在此之后，网络犯罪分子可能会在其他国家进行传播。Faketoken就是这样的一种程序。在2014年第一季度，卡巴斯基实验室检测到的攻击中涉及此威胁的就有55个国家，包括德国、瑞典、法国、意大利、英国和美国。要避免此危险，用户必须利用卡巴斯基安全软件多设备版进行保护，也就是说电脑和安卓智能手机上都要使用专用安全解决方案。

中国主要电视台CCTV每年3月15日，即国际消费者权益日都会举办”315晚会”。这个一年一次的盛会上会大量揭露与消费者侵权相关的事件。今年晚会上公布的多个侵权事件中，其中一例是智能手机销售渠道商在安卓手机上预装恶意软件，然后将其销售给不知情的用户。 如节目中所揭露的，预装的恶意软件名为DataService： 在有关于此的另一则新闻中，我们发现了此恶意软件的md5： 这种恶意软件被卡巴斯基检测为Trojan.AndroidOS.Uupay.a。它不是一种独立的程序，而是与普通的安卓应用程序一起工作，这意味着大多数用户对此一无所知，直到收到夸张的电话帐单时才会发现有问题。那么”DataService”恶意软件究竟是做什么的呢？据报道，它可以上载大量信息，像IMEI、MAC地址、手机型号、安装应用列表等。此外，还能推送大量广告，并下载特定应用程序。下面我们将从代码级别深入地了解并验证这些功能。 首先，我们将从大体上来看看该恶意软件应用包中解压出的AndroidManifest.xml，它提供了关于应用的基本信息。只需看一眼，我们就能看出该文件确实获取了各种敏感权限，其中一些权限会让您进行消费，并有权访问您的敏感信息： 另外还有一些URL引人注意： 稍后我们将解释这些URL是如何使用的。 对此恶意软件的某些变种进行反编译后，我们发现，它们都包含名称类似com.google.hfapservice和com.uucun.android的软件包。 虽然名称中包含google，但com.google.hfapservice与google没有任何关系，它可用于在后台下载其他应用。 下载后以静默方式安装。 它使用Airpush提供的推送服务： 运行用于访存和显示被推送广告的服务： 下载被推送的应用： 它还能从手机中获取各种细节信息，包括IMEI、MAC地址、手机型号、安装应用列表等。 名称类似com.uucun.android的软件包还含有代码，用于显示、下载和安装此软件包中的广告或其他应用。 从手机中收集信息： 然后将这些信息发送到服务器： 使用动态分析，我们跟踪到该恶意软件的网络流量，发现它会向http://******mall1.plat96.com/进行请求，以获取需要访存的应用列表： http://******mall1.plat96.com/本身看起来是某种类型的非官方安卓商店： 我们从访存列表中下载了一些应用，所有这些应用都包含与DataService类型相同的恶意软件。 现在，我们已经很清楚DataService恶意软件的主要功能，但我们的目的并不仅于此。这种恶意软件是怎样预装到数量如此庞大的全新手机中的？在”315晚会”上，CCTV的记者揭开了神秘的面纱。记者发现，一家附属于大唐电信科技产业集团的公司高鸿股份使用产品”大唐神器”来提供一种安卓应用预装服务。截止目前，高鸿股份已经拥有4600多家预装加盟代理商。这些代理商安装的应用数已超过4600万，每个月都会有100多万台手机上预装各种应用。 “大唐神器”究竟长什么样？它看上去不像一件艺术品，只是像下图这样的一个设备。 据称此设备能够在几分钟内就将设备中的所有应用自动安装到安卓手机上。下面的应用菜单附带价格表，每安装一件的价格从10到50美分不等。 通过预装列出的应用，高鸿股份加盟商即可以向高鸿收取费用，具体根据安装的应用数量计费。 此外，有报告指出，高鸿预装的应用会窃取用户的隐私信息。高鸿承认确有此事，但同时声称他们只是收集IMEI、MAC地址、型号和应用列表等统计信息，不会采集与手机号、通讯录和通话记录等相关的信息。但我们发现收集用户敏感隐私信息的Trojan-Spy.AndroidOS.Agent.k似乎与高鸿有着某种关系。 从反编译的代码中，我们可以看出它确实能上传用户的通话记录，并在30秒后重拨。 只要对www.goohi.cn执行简单的ping操作，就可以验证该IP地址是否确实与高鸿相关。 我们看到的IP地址与在恶意软件中看到的完全一样。虽然CCTV曝光说DataService恶意软件可能已预装到手机，也提到高鸿的”大唐神器”可用于此目的，但单从CCTV的报道来看我们还无法确认这两者间有确实的联系。然而根据”uucun”和一则有关uucun的新闻，我们发现它具有能在1亿多台手机上进行预装的预装渠道。 这不能不让我们对DataService恶意软件的预装渠道展开联想。

你或许碰到过以下情况。一天，你打开互联网浏览器时发现，网页没有转向你常用的主页，而是转向了从未听说过的搜索引擎的登录页面。接着你注意到，工具栏中的内置搜索框不见了，也被取代为刚才打开的登录页面中的搜索框。更糟糕的是，在浏览器和系统上执行过所有典型的卸载过程后，重新启动浏览器时发现……打开的还是这个登录页面。 这就是BitGuard，此名称通用于包含MixiDJ、Delta Search、SearchQU、Iminent and Rubar等搜索工具栏的一系列程序。BitGuard是一种复杂的恶意软件，往往绑定到免费下载软件中，旨在通过劫持您的系统为第三方创造收入。 BitGuard是一种复杂的恶意软件，往往绑定到免费下载软件中，旨在通过劫持您的系统为第三方创造收入。 根据SecureList的报告，其工作原理如下。用户尝试下载某类程序（例如音乐、软件或视频文件），重要的是从提示使用的关联程序下载相关驱动程序和安装程序。下载安装程序时，也会同时下载工具栏，有时需要得到用户许可，有时不需要，这取决于具体的程序。 此时，用户已被纳入工具栏和新主页中的新程序搜索功能中，之后就会重定向到该搜索引擎的结果页面。下面将解释它是如何赚钱的－广告商向这些主机支付费用，要求将广告内容推送到结果字段的最前面，也就是大多数用户会首先点击的位置。用户通过点击指向广告商页面的相关链接时，搜索工具栏的所有者即可获取报酬。 Google报告说，从去年开始已经在有步骤地控制此类程序，但目前为止依然是一个问题。遇到这些程序的用户应该首先尝试从系统中卸载程序。在一台个人电脑上，请点击”开始”，转至”控制面板”，然后点击”卸载程序”，接着滚动浏览到相应程序，卸载掉不需要的加载件。这可能并不能解决此问题，因此还要从浏览器中卸载这些程序。在Firefox火狐浏览器中，请点击左上方任一主下拉选项卡，或者如果显示有菜单栏，请点击”工具”，无论哪种情况，接着请点击”附加组件”，然后删除不需要的程序。其他网络浏览器的卸载步骤与此类似。 但遗憾的是，对于某些工具栏，这些措施可能都不会起作用，这种情况下，你不得不使用Google搜索（啊，多么讽刺！）来查找特定于工具栏的删除说明。知道导致您额外安装软件的站点才能删除这个不需要的软件（太讽刺了！）。虽然许多”删除并优化”程序看起来是最简单的一键式解决方法，但其中许多程序本身就是间谍软件或恶意软件。 这些不需要的附加组件可以通过漏洞入侵，因为用户往往会给予它们安装权限，而并不了解这些组件，就仓促完成了下载进程，事后才会发现这些组件的行为会损害系统。在这种情况下，安装一款强大可靠的反病毒程序是多么重要，它能警告你即将安装的任何危险插件。值得注意的是，许多免费的反病毒软件也会安装搜索工具栏，因此这种情况下我们建议您使用付费产品。

在一些案例中，某些网站会被盗用而作为传播恶意软件的主机。就我们所知，用来误导用户转至恶意站点的方法可谓花样百出，其中一种就是”误植域名”。 对我们来说，在网络浏览器中输入网址时出现拼写错误实在是太平常的事。但网络犯罪分子往往会利用这一情况来误导用户转至恶意网站，而不是用户实际想访问的站点。这被称为”误植域名”（typosquatting）- 这个英文单词由”typo（错误拼写）和”squat（蓄意）”两部分组成，也称为”网址劫持”（URL hijacking）。网络犯罪分子会注册与流行域名类似的域名，然后等候拼写错误的用户上钩。这对于企业来说实在是件讨厌的事，甚至导致域名被网址蟑螂（typosquatter）滥用的公司之间引发官司。 当然，误植域名对于消费者来说也是一种威胁。当用户无意中访问这些网站时，会发现浏览的是垃圾网站，甚至更糟糕的是，有可能被恶意软件感染。下面我们将讨论真实发生的案例。 典型案例：Gmail滥用 首先我要解释下我们为了减少被恶意软件感染的受害者而做出的努力。只要发现有任何被盗用的网站，我们就会尝试联系其管理员并发出警告。下面是我们遇到的一个实际例子。这是一个无意间托管了恶意软件的网站上的WHOIS信息。在”Administrative Contact”（管理联系人）字段中，您会看到字符串”A***3JP”。这是由日本域名注册服务公司（JPRS）管理的JPNIC句柄，也是找出该站点管理员的关键。（换句话说，就是在此字段中注册的电子邮件地址。） 我们检查了负责管理”A***3JP”域的管理员： 在”E-Mail”字段中的电子邮件地址就是应该发现自己的网站被恶意软件感染的人员的联系信息。提醒未发现感染的管理员是阻止恶意软件进一步传播的重要环节之一。 但经过更进一步的检查，我们发现此电子邮件地址中存在问题。它看上去类似于Gmail地址（xxx@gmail.com），但实际上并不是，因为它缺了一个字母。 对于某些国家，正确的域信息注册是一项法律规定。但在日本，有时注册的信息并不正确，而更糟糕的是不正确的信息可能会被有意注册。如果注册的电子邮件地址不正确，则我们就无法向网站管理员发出警告，对方也不会意识到自己已成为受害者。 但在这种情况下，注册类似Gmail域名的意图显而易见：这是利用误植域名生成的一个陷阱，目的是误导用户下载恶意伪装程序。 结果地址类似于Gmail的网站可能会根据访问者的语言环境以多种语言显示，包括日语、德语、西班牙语、意大利语、荷兰语、波兰语、葡萄牙语、俄语、瑞典语和土耳其语。但没有”英语”选项，具体原因不明。请参见下面的网站截屏样本。网站合法的外观很容易会误导意外访问该网站的访问者毫不怀疑地下载并安装对象。 日语： 俄语： 在本文中，我解释了正常注册域名信息的重要性以及误植域名的工作原理，并通过我们在研究中偶然碰到的实例加以说明。误植域名并不是新鲜事物：它是误导用户的一种经典方法，已经存在好几个年头了。但全球范围内的受害者人数仍不断上升，原因是这种方法本身具有被动性质，即等着用户拼写错误而自动送上门，因为我们都可能时不时地犯些拼写错误。为了避免成为受误植域名驱动的恶意软件受害者，请定期更新操作系统和安全软件。

截至一月底，卡巴斯基实验室已收集到约二十万个移动恶意应用软件的样本。这一数字较之2013年11月已呈34%增长。两个月前我们仅收集到十四万八千个样本。然而，比起我们研究发现的恶意安卓应用软件的数字简直是小巫见大巫。一月份其数字已达一千万。 当然，那些略知点谷歌官方数据的安卓忠实粉丝们会质疑这一数字。Google Play市场提供大约110万个应用软件，怎么可能找到的恶意软件多出十倍有余呢？答案很简单。 真相是这样的。在非官方应用商店里上架的超过一百万个应用程序里，恶意软件存在的可能性很大。 事实上，还有很多非官方的应用商店。他们提供的应用总量远超过一百万，而且其中很多安卓软件很有可能是恶意软件。所以，如果你是通过Google Play下载， 遇到恶意软件的几率是比较小的。但如果是其他商店就不好说了，或许您马上就中招。要知道很多人都热衷于下载免费或破解的应用，而黑客们经常就把恶意软件命名为一些比较受欢迎的游戏、银行应用软件和工具等等。结果就是用户的隐私、银行信息和资金等直接落入罪犯之手。下面是一很好的实例：2012年发现的源于俄国的Carberp木马病毒被植入移动软件成功盗走了用户的资金。坏消息是目前网上有上千万的恶意应用软件！ 移动应用市场还在不断发展，集资数额也比个人电脑时代来的多。但同时，保护智能手机和平板电脑的移动杀毒软件却很少。移动用户也因此往往成为黑客们的盘中餐，加上数千万恶意应用软件帮他们的忙，真是令人担忧啊！ 别慌！想要安全也不是难事。看看专家给我们的建议吧： -不用启用设备上的”开发者模式” -不要勾选”从第三方来源安装应用程序” -仅从官方渠道安装应用 -安装新应用软件时，请注意了解应用所要求的权限。 -运用安全保护的软件 当然啦，还有，常来我们的博客了解最新的安全资讯。