恶意代码检测.ppt

移动恶意代码检测
主要内容
恶意代码简介
主要检测方法
逐步研究计划
恶意代码简介
恶意代码简介
典型恶意代码
Adrd Adrd又名HongToutou,首次发现于2011年2月15日。它被植入十余款合法软件中,通过多家论坛、下载站点分发下载
实现大范围传播。主要行为包括:每6小时
向控制服务器发送被感染手机的IMEI、IMSI
、版本等信息;接收控制服务器传回的指令;
从数据服务器取回30个URL;依次访问这些
URL,得到30个搜索引擎结果链接;在后台
逐一访问这些链接;
到SD卡指定目录。
恶意代码简介
典型恶意代码
DroidDream
DroidDream最早出现于2011年2月15日,
并在3月2日被发现。它被植入谷歌官方
Android市场的五十余款软件中,通过多
个账号发布,是第一个通过官方市场大范
围传播的Android恶意代码。
DroidDream利用了一个名为rageagainstthe-
cage的提权工具,利用Android系统漏洞使
自己获得root权限。
恶意代码简介
典型恶意代码
Zitmo和Spitmo Zitmo和Spitmo,是PC平台最大的网银盗号木马Zeus和Spyeye的移动版本。到目前为止,Zitmo已经出现在Android、Symbian、Windows Mobile、BlackBerry RIM OS系统中。
Zitmo和Spitmo均拦截并回传用户
用于网银登陆的手机一次性随机
验证码(mTAN,用于与账号、
密码一起,登陆网银)。通过社
会工程学,攻击者成功地将用户
的网银账户与其手机关联,从而
对支付安全中所谓双因素认证进
行了有效地攻击。
恶意代码简介
典型恶意代码
Droiddg Droiddg预装入多款Android手机和平板电脑中,通常伪装成名为“Google搜索(已增强)”的软件,
隐蔽地收发短信,消耗用户手机
费用,并大量下载和安装其他应
用软件。
恶意代码简介
典型恶意代码
.[隐秘追踪]
该病毒安装后会强制开机启动,隐藏桌面图标,同时拦截特定短信,以获取用户GPS位置信息,并上传远程服务器,严重泄漏用户隐私。
.[卧底大盗]
该软件安装后无图标开机自启动,启动后会监听手机的通话内容、发送短信并使用GPS跟踪您的行踪,同时会拦截短信内容、通话记录、邮件、手机号码等隐私内容上传到服务器,给用户的隐私安全带来严重威胁