“手机超级病毒”不过半成品，安全厂商的恐吓营销？

　　导读：这个“超级手机病毒”作者被抓了，病毒下载链接已经失效，运营商在服务器端已经关闭了相关短信的发送，杀毒软件都能杀。至此，所谓“超级手机病毒”的传播迅速停止。

　　8月2日、3日，多个媒体微博传播了所谓“超级手机病毒”的消息，本人认为，相关新闻高估了病毒危害。所谓“超级手机病毒”实属寻常，多个杀毒软件可以查杀。该病毒已实现的主要危害是群发短信消耗手机费，手机短信本身并不是病毒，网民勿须过度恐慌。

　　中毒手机会向手机联系人发布短信内容为：“XXX(手机用户姓名，来由中毒好友的手机通讯录)，看看这个http://cdn.yy****.com/down/4279193/XXshenqi.apk(短信内容中传播的病毒下载网址，已部分隐藏)” 。

　　不明真相的网友误以为收到上面这条可疑短信就表示手机中毒，部分媒体也这样认为。这是明显错误的看法，短信本身并不是病毒，只有去点击短信中的网址，启动手机浏览器下载XXshengqi.apk的文件。然后，再一步一步将这个apk程序安装在安卓手机上，这才叫中毒。该病毒只会影响安卓系统，对iPhone、Windows Phone的手机不会有任何影响。”

　　详细分析这个病毒的行为，发现这个手机蠕虫病毒最大的危害是群发短信，可以在短时间内影响大量手机用户。金山毒霸安全中心统计到的感染量为：8月2日，实际感染超过5000部安卓手机，8月3日，实际感染超过1万部安卓手机。许多人认为这个病毒是“超级手机病毒”，是把看到上面那条传播病毒下载链接的垃圾短信，就以为自己中毒了。

　　除了群发短信，该病毒也设计了引导用户注册，提交姓名、身份证号的功能，但界面引导明显还是半成品：莫名其妙、完全让人看不懂，相信不会有多少网民会提交真实信息。

　　图2 所谓“超级手机病毒”简陋又莫名其妙的注册界面

　　病毒还试图截取中毒手机短信内容，并将来自淘宝网的短信标记为特殊消息，这种行为具有一定的盗窃意图。病毒作者的手机号、邮箱帐号密码、QQ号等都明文编写在病毒代码中，这些代码帮助警方迅速擒获犯罪嫌疑人。

　　图3 病毒代码中留下的作者私人信息

　　图4 深圳市公安局公共信息网络安全监察分局官方微博宣布抓获犯罪嫌疑人

　　将这个很普通的手机病毒命名为“超级手机病毒”，显然是不恰当的。

　　什么样的病毒配称为“超级病毒”呢?举几个例子：

　　PC上的超级病毒：

　　造成大量电脑反复重启的冲击波病毒、几小时内遍布全球堵塞企业局域网的SQL SERVER蠕虫王病毒、入侵伊朗核电站破坏核设施的超级工厂病毒，这些高技术含量、破坏力惊人的病毒才配称得上“超级病毒”。

　　手机上有没有超级病毒呢?

　　从我们的分析报告看，被央视315打击过的大唐神器可以算得上一种“超级病毒”：理由是。这个病毒预装在山寨手机中，恶意推广，后台下载安装，没有任何界面弹出，用户完全一无所知。而且，分析这个病毒的行为，这个大唐神器的早期版本权限很高，理论上来讲，可以做到无所不能。这个病毒的感染量远远超过这几天热炒的所谓“超级手机病毒”，而且，无法卸载，除非用户换手机。

　　目前来看，手机上还没发现其他可以称得上超级病毒的恶意程序。

　　相比许多已经出现过的手机病毒，这个病毒实在是弱暴了。建议媒体或安全圈的朋友准确评估安全风险，夸大宣传无助于帮助公众提高网络安全意识。总在喊狼来了，等狼真的来了，网民还以为是哈士奇。

　　为什么这个弱暴的病毒引起这么大动静呢?与下面几个因素有关：

　　1.短信群发的蠕虫式传播

　　病毒可以读取通讯录，通过短信群发，一传十，十传百，实现病毒的快速扩散。事实也证明，通过短信、彩信或聊天工具传播下载链接的蠕虫式传播比通过第三方应用市场下载传播更快。

　　2.利用社交关系

　　病毒利用通讯录，发送的短信带有收件人姓名，而且来自熟人好友，收件人容易放松警惕。这个小技巧让社交关系传播变得更容易。

　　3.公众普遍的安全意识缺乏

　　从病毒传播的垃圾短信，到点击短信下载链接，到最终安装病毒，需要启动浏览器下载、下载后打开运行，运行时一步步点确认安装。任何一步点击“否”，网民就可以避免中毒。但还是有不少人中毒了。

　　安全专家表示，普通网民需要提高自身安全意识，尽量不要轻易打开短信、手机QQ消息、社交类APP中附带的网址链接，更不要轻易下载和安装来历不明的软件(安卓手机上就是扩展名为.apk的程序文件)。

　　4.手机安全软件“亡羊补牢”

　　据警方公开的消息，最早在8月2日凌晨有市民举报“超级手机病毒”短信，几小时后，金山手机毒霸等国内安全软件相继宣布可以拦截查杀。

　　虽然只是几个小时时间，而且对比依靠更新病毒库的传统杀毒软件，现在的云安全更新已经比较高效了，但由于该病毒传播呈现几何级扩散，后发响应式的杀毒软件仍然还是不够快。

　　杀毒软件其实还可以变得更智能，比如，检测到手机APP正在快速群发可疑短信，要不要立刻阻止危险行为?另一方面，杀毒软件的垃圾短信鉴定系统也应该更加智能，当检测到全网同样特征的可疑短信突然增加，是否可以在客户端进行必要的安全提醒?

　　5.运营商的响应系统还须再加速

　　运营商是控制该病毒传播中最关键的环节，大量相同内容的垃圾短信，容易触发运营商的预警系统，应迅速修改短信拦截策略，阻止危险短信到达收件人。运营商需要更快速的阻止大规模垃圾短信内容群发，特别是带有安卓程序下载链接的可疑短信。

　　与此同时，运营商的系统同样可以帮助警方捕获病毒作者，挖掘可疑短信的最初的源头、分析其共同特征，也能帮助发现病毒作者。

　　这个“超级手机病毒”作者被抓了，病毒下载链接已经失效，运营商在服务器端已经关闭了相关短信的发送，杀毒软件都能杀。至此，所谓“超级手机病毒”的传播迅速停止。

　　下一次类似的攻击什么时候再出现呢?我不知道。但至少知道一点：安全意识比较强的网民将不会首先成为受害者。