手机病毒综合治理思考

来晓阳，洪晶，杭跃斌

（1 中国移动通信集团江苏有限公司，南京 210029；2 中国移动通信集团公司，北京 100032）

1 手机病毒传播及工作流程

1.1 发布传播

由于移动互联网自身特点，因此手机病毒的发布传播方式与传统病差异很大，包括短信传播、彩信传播、伪造WAP PUSH传播、软件捆绑、人工安装、ROM置入、蓝牙传播、远程溢出、弱口令利用。

1.2 客户端感染

病毒被安装到手机上之后，首先需获取系统控制权，达到控制手机、隐藏自身存在、对抗查杀措施等目的。主要包括以下4个主要功能：关闭杀毒软件、多进程保护、关闭系统卸载功能、拦截特定代码短信。

1.3 控制升级

大部分手机病毒会与病毒控制服务器进行通信以便接受指令执行后续操作。该环节主要由以下几个功能组成：上报客户身份信息、接受控制指令、实施病毒升级。

1.4 隐私窃取和牟利

目前编写传播手机病毒目的主要是为了窃取隐私和牟利。手机病毒此类功能包括： 窃取身份、窃取通信记录、窃取短彩信内容、窃取用户位置信息、通话窃听、订购数据业务、拨打IVR电话、发送垃圾短彩信、广告推送、点击网站链接。

2 手机病毒监测技术的实现

根据手机病毒传播规律，基于中国移动网络整体架构，建立一套完整的手机病毒监测工作需覆盖移动网络、软件市场、智能终端3个关键环节，实现对于手机病毒的全程监测。

2.1 移动网络病毒流量监测

目前病毒传播、控制、牟利的主要通道包括CMNET/CMWAP、WLAN、彩信、短信。相应的需要对分组域核心网、WLAN链路、点对点/梦网短信进行监测。在网络侧实施病毒监测，是运营商开展病毒防护工作与传统病毒防护工作之间最大的区别。

2.1.1 分组域核心网Gn链路手机病毒监测

目前CMNET/CMWAP APN、彩信的流量均通过分组域核心网，对其监测可同时实现CMNET/CMWAP APN以及彩信中手机病毒的监测。

Gn链路处于GGSN/SGSN之间，采用GTP协议封装，在该链路上可以监测手机病毒特征数据报以及用户IP地址，还能够在GTP协议的PDP Request/Response（PDP激活/去激活）信令流程中信令流程中获取用户IMEI、IMSI、MSISDN、LAC、CI等一系列信息。因此通过在Gn链路进行手机病毒监测是目前最为有效的网络侧病毒监测手段。

为了提高对未知病毒的发现能力，该监测技术还需具备未知病毒发现功能，通过疑似病毒行为，如病毒控制报文的特殊协议结构、高频次异常网站访问和文件下载等病毒行为等进行监测以发现未知病毒行为。

目前实用化的监测设备已实现单链路3Gbit/s的监测能力，能发现各类手机病毒、木马软件、地下运营商、分组域安全攻击等安全问题400多种，可满足目前2G/3G网络以及未来4G LTE网络监测的需求。

2.1.2 WLAN上行链路监测

由于智能终端流量增长迅猛，目前相当多的运营商采取了将部分业务流量疏导WLAN网络的做法。因此中国移动还需要具备对WLAN进行监测的能力。

在WLAN链路上在监测病毒流量的时候只能监测到IP地址，因此监测设备还需要对WLAN AC与RADIUS服务器之间通信内容进行监测已获取IP地址对应用户账号，实现将病毒流量直接溯源到用户的目标。

2.1.3 点对点短信监测

目前手机病毒传播经常使用的一种手段是通过发送欺骗短信诱使用户点击其中的URL方式传播。因此需过改造现有垃圾短信监控系统可对含有异常URL的点对点消息进行监控。

2.1.4 梦网短信监测

手机病毒牟利主要手段之一恶意订购业务，主要通过后台发送订购业务的梦网短信实现。通过对梦网短信进行监测发现异常短信发送行为，可认为用户疑似感染手机病毒。

2.2 手机病毒分发监测

手机病毒总是需要通过各种途径到用户手机上，对这些途径进行监测是预防手机病毒的重要手段。

2.2.1 中国移动应用商场（Mobile Market）监测

中国移动应用商场是中国移动自有的手机应用商场，需建立面向手机应用全生命周期的、可追溯的手机病毒监测机制，包括上线前检查、上线后支撑以及安全问题响应3个部分。

2.2.2 第三方应用商店监测

用户还会从终端厂家/操作系统厂家应用商店以及其它第三方应用商店下载应用。还有很多用户是使用搜索引擎和导航网站来寻找需要下载的应用。对此类情况，综合采取网络流量中下载行为监测、扫描方应用商店应用下载路径、网络爬虫技术主动发现进行应用下载链接3种方式，获取应用下载路径并对文件体进行病毒监测。

2.3 手机客户端监测

手机感染病毒后，需手机客户端杀毒软件才能彻底清除。常见的监测方式有基于特征码的监测方法和启发式扫描的监测方法。

（1）基于特征码的监测方法:为目前的主流手机病毒侦测方式，就是将手机里的文件通过扫描引擎与病毒库进行特征码匹配；

（2）启发式扫描方法:通过分析文件信息的行为并将其与一个危险行为样式库进行对照判别。例如某文件试图格式化内存，杀毒软件就会警告该用户，尽管该文件也许是用户刚刚安装在系统中的一个新的格式化程序而不是病毒，接下来由用户来判断是否继续进行该操作。

3 手机病毒防护技术的实现

3.1 网络侧手机病毒防护技术

在前述手机病毒/恶意软件监测技术的相关分析中，我们可以看到手机病毒/恶意软件主要通过短彩信、分组域核心网以及WLAN进行传播。因此网络侧拦截技术需要对病毒在分组域核心网、WLAN以及短信通道上传播的诱骗、下载、控制信息进行拦截。主要包括以下3种技术。

（1）IP链路在线拦截技术：在Gi链路或者更高层链路上，在线阻断对病毒控制通道的域名、IP地址或者URL进行拦截。该技术在病毒流量通过WLAN通道进行传播时也同样有效，是网络侧拦截最为主要的技术手段；

（2）病毒短信拦截技术：通过提取手机病毒诱骗短信关键字，将其传送到垃圾短信拦截系统对此类含有关键字的短信进行拦截，阻断病毒传播途径；

（3）彩信中心杀毒技术：在彩信中心上加载防病毒模块，在彩信下发前扫描彩信消息体，发现彩信消息体中含有病毒则立刻停止该彩信下发。

3.2 终端侧手机病毒防护技术

终端感染病毒后，一般需要通过专用手机杀毒软件进行清除，目前主要可以提供几种病毒防护技术。

（1）病毒清除技术：借鉴传统PC病毒查杀经验，监测到已知病毒后直接对病毒进行查杀；

（2）远程删除技术：通过控制服务器远程控制终端测杀毒软件卸载/删除某些恶意软件。

3.3 用户主动提醒技术

对于未安装手机杀毒软件客户，需要采取主动提醒技术才能有效清除病毒。主动提醒客户采用电话外呼、短彩信提醒、WAP页面推送等方式。

综合网络侧、终端侧和客户主动提醒技术，可以覆盖中国移动所有用户，实现手机病毒全程拦截查杀。

4 中国移动手机病毒全网监测与防护体系设想

根据前述内容，我们提出了中国移动全网综合监测与防御体系的设想，由综合管控系统、研判分析系统、现网监测/防护系统、终端杀毒系统共同组成。

4.1 综合管控系统

统一管理集团及各省公司的手机病毒监测/防护系统，实现综合监测、综合分析和综合防护。同时，该系统维护全网统一的监测、报警、拦截以及恶意代码特征库，统一下发到全网的监测/防护系统。

4.2 研判分析系统

是通过现网监测、用户投诉、舆情监测等多种方式获取全网手机病毒疑似样本，通过自动化沙箱分析技术，生成病毒特征库。

4.3 病毒监测系统

融合Gn监测、WLAN监测、短信监测实现病毒全程监测。通过标准化接口，从综合管控系统获取全网监测特征库。同时上报疑似感染病毒的情况。

4.4 网络侧防护系统

在Gi口设置流控设备拦截手机恶意软件网络行为，从综合管控系统下载拦截特征库，拦截相关通信地址。在垃圾短信拦截系统中增加病毒短信拦截功能，拦截相关短信。

4.5 终端杀毒系统

图1 全网综合监测与防御体系

终端杀毒客户端从综合管控系统下载恶意代码特征库，实现对已知病毒的监测和查杀。同时上报疑似病毒文件，实现手机病毒的“云查杀”。在出现恶性毒爆发时，允许综合管控系统直接下发命令强行卸载特定的手机病毒。基于该方案的提出网络侧和终端侧融合的手机病毒拦截清除方案目前正在逐步实现。为下阶段实现面向全网的手机防病毒服务/业务奠定了坚实基础。

5 建立手机病毒处置工作体系

对于中国移动而言，亟需建立起一套以保护客户利益、提升客户满意度的病毒处置工作体系。经过努力，目前中国移动已经初步建起了一套手机病毒处置工作体系。该体系依托组建专业的病毒防护团队（主要包括手机病毒分析人员、网络维护人员、客户服务人员、法律事务人员），利用部署在网络上的手机病毒监测系统、根据手机病毒处置工作流程，开展病毒监测、病毒研判、病毒预警、病毒控制、应急响应等各项工作，以实现保护客户权益，提升网络质量的目的。

5.1 病毒监测

病毒分析人员利用网络侧手机防病毒监测系统及终端防毒软件，对全网的手机病毒感染情况进行持续监测。实现对已知病毒感染监测和疑似病毒网络特征以及文件样本采集。

同时，客户服务人员对全网的手机病毒投诉处理进行分析。从海量投诉汇总批量疑似手机病毒投诉，发现病毒感染传播趋势。舆情监测是另外一个重要的病毒监测手段。

5.2 病毒研判

在监测到新病毒后，对疑似样本进行分析，获取其网络行为特征、主机行为特征以及具体工作机制。

5.3 病毒控制

根据病毒监测结果，对病毒传播进行阻断，控制手机病毒在移动网内的传播。同时，通知终端厂家和杀毒软件厂家启动相关准备工作。

5.4 病毒预警

中国移动基于网络分析、舆情监测、用户投诉等多种渠道，能够比较有效的对手机病毒/恶意软件的爆发进行有效的监测。通过各种媒体渠道，发布不同级别的病毒信息预警。如出现重大病毒预警，制定网络侧防护方案以及客服应对方案，组织网络维护人员和客户服务人员落实应对措施。

5.5 应急响应

如果出现重大手机病毒事件，需启动手机病毒应急响应机制，通过多种手段将病毒对用户的危害和网络的影响降低到最低限度。具体包括以下几个步骤：制定病毒封堵方案、媒体公告、客户告知、终端升级。