首款针对Windows Mobile的病毒出现

zyc1963

　　据McAfee公司的Avert实验室发布的警告声称，首款专门针对于Windows Mobile平台的“特洛伊木马”病毒已经开始肆虐WM用户。

　　这款病毒被定名为WinCE/Infojack，它将安装恶意软件，并发送被感染用户的资料给木马作者。McAfee认为，此木马创建于某个中文网站，其安装包内包含Google Maps、股票买卖软件及游戏内容。

　　此木马安装时采用静默安装模式，一旦安装完毕，它将：首先保护自己不会被删除，而且为自己创建备份。然后会替换IE首页，允许未经签名的应用程序运行，在记忆卡中安装自动执行程序，然后把自身复制进记忆卡中。

　　病毒可以通过记忆卡进行传播，同时木马会通过网络给木马作者发送被感染机器的设备序列号、操作系统及其他资料信息。

　　目前Avert实验室提供的证据已经充分说明这款WinCE/Infojack属于木马病毒，McAfee会在针对Windows Mobile的杀毒软件中增加此款病毒的查杀。

目前已知可以检测的国外反病毒软件：
WINCE/InfoJack.A [AntiVir]
Trojan:WinCE/InfoJack [F-Secure]
Worm.WinCE.InfoJack.a [Kaspersky]
WinCE/Infojack [McAfee]
WinCE/InfoJack.A [Panda]
WCE/Meiti-A [Sophos]
WinCE.Infomeiti [Symantec]
注：Symantec、McAfee、Sophos、F-Secure 是最先截获此病毒的

赛门铁克的病毒分析（从官方网站自行翻译）：
（一）该蠕虫病毒运行后，创建如下文件：
%Windir%\mservice.exe
%ProgramFiles%\Game\Big2\BIG2.exe
%ProgramFiles%\Game\Big2\Images.dat
%ProgramFiles%\Game\CChecker\CChecker.exe
%ProgramFiles%\Game\Go\GNUGo.exe
%ProgramFiles%\Game\GoBang\GoBang.exe
%ProgramFiles%\Game\Kevtris\Kevtris.exe
%ProgramFiles%\Game\Kevtris\240x320.dll
%ProgramFiles%\Game\Kevtris\Sounds.dll
%ProgramFiles%\Game\Link\GX.dll
%ProgramFiles%\Game\Link\Link.dat
%ProgramFiles%\Game\Link\Link.exe
%ProgramFiles%\Game\Link\Link.sav
%ProgramFiles%\Game\Link\ScoreList.sav
%ProgramFiles%\Game\Link\Sound\blast.wav
%ProgramFiles%\Game\Link\Sound\btnup.wav
%ProgramFiles%\Game\Link\Sound\clickcard.wav
%ProgramFiles%\Game\Link\Sound\gamefail.wav
%ProgramFiles%\Game\Link\Sound\hint.wav
%ProgramFiles%\Game\Link\Sound\music.wav
%ProgramFiles%\Game\Link\Sound\pass.wav
%ProgramFiles%\Game\Link\Sound\shuffle.wav
%ProgramFiles%\Game\MaJong\MaJong.exe
%ProgramFiles%\Game\SpbMine\records.dat
%ProgramFiles%\Game\SpbMine\SPBMine.exe
（二）创建如下快捷方式，以实现开机自启动：
C:\Documents and Settings\All Users\Start Menu\Programs\Startup\mservice.lnk
（三）创建如下注册表项目和键值：
HKEY_LOCAL_MACHINE\Security\Policies\Policies\"0000101a" = "1"
HKEY_LOCAL_MACHINE\Windows\Software\ms\"[3G]" = "%Windir%\mss.zip"
HKEY_LOCAL_MACHINE\Windows\Software\ms\"Mssver" = "%Windir%\msf.zip"
HKEY_LOCAL_MACHINE\Windows\Software\ms\"Favoritesver" = "%Windir%\msa.zip"
HKEY_LOCAL_MACHINE\Windows\Software\ms\"popconfigver" = "%Windir%\msw.zip"
（四）蠕虫病毒通过将自己复制到内存卡上实现传播：
[MEMORY CARD NAME]\2577\autorun.exe
（五）从 [http://]mobi.xiaomeiti.com 地址下载如下文件：
%Windir%\mss.zip
%Windir%\msf.zip
%Windir%\msa.zip
%Windir%\msw.zip
（六）病毒试图窃取如下设备信息：
Hostname（主机名称）
OS version（操作系统版本）
User name（用户名）
Radio hardware information（无线电接收装置硬件信息）
Radio software information（无线电接收装置软件信息）
Serial number（序列号）
Subscriber identifier
然后将收集到信息发送到：[http://]mobi.xiaomeiti.com
（七）从以下地址下载 mservice2.zip 实现自我更新：
[http://]mobi.xiaomeiti.com/uploadfile/mservice2.zip（已经无法下载）
（八）随机选择联系人发送彩信

wcl-zt

这下用手机也要小心了哦

cal

谢谢芽/:L 诓越越/:010

hxb8188

没碌时只拥杀杀