computer 版 (精华区)

发信人: neverbw (浪子~期待黑色七月), 信区: network
标  题: PDA也要防毒：病毒将于年底开始攻击PDA
发信站: 听涛站 (2001年09月23日00:25:35 星期天), 站内信件

移动设备已成为21世纪人们日常生活中不可缺少的一部分，病毒对这些设备的威胁也同
样的在与日俱增。Gartner专家预测，病毒将于2001年年底开始攻击PDA。可是实际上几
乎所有公司的移动设备都完全没有防病毒功能。对于那些手持设备已成为其生活重要组
成部分的人来说，如果不对其PDA进行保护的话，他们将由此遭受到物质上的巨大损失，
因为许多手持设备中都存储有很多重要的文件。
一、背景
　　破坏性病毒之所以还没有在PDA设备上出现的理由有三点：
　　（1）其操作系统简单，计算机病毒难以自动传播；
　　（2）PDA仅使用有限的几个ROM（只读存储器）和RAM（随机存储器）进行工作。固
化于ROM中的程序是不易遭到病毒破坏的。
　　（3）PDA的数据处理能力比台式电脑要低的多。
　　但是，存储于RAM中的第三方应用程序和用户信息可能会遭到病毒的破坏。
　　专家预测，随着PDA的广泛应用和普及、功能的增加，病毒的入侵能力会进一步增强
。Gartner预测到2004年，40% 的PDA将利用无线技术和WEB内容和企业网络建立直接连接
，病毒的入侵将会更加猖獗。
二、PDA防毒的必要性
　　据有关资料统计，现在全球PDA用户多达1000万人。随着越来越多的企业和政府机构
也开始使用PDA，无线传输技术在PDA设备上的应用普及，黑客活动的猖獗，加之现在PD
A设备大多没有安装防病毒软件，所以PDA受到黑客攻击的可能性大大增加。
　　另外，现在很多PDA用户都还没有意识到储存在PDA中的信息极容易被未经授权的黑
客窃走的危险，大多数用户对于PDA中的数据的保密意识也不如他们对台式电脑中数据的
保密意识强。
　　目前来讲，应用于PDA上的操作系统主要有三个：Palm OS， Windows CE和EPOC。 
其中Palm OS在美国占有80%的市场份额，全球Palm用户多达1000万人。由于目前已有超
过4千个以此运作的应用软件，加上多数Palm使用者在下载应用软件时，会将软件先储存
到个人电脑上，然后同步传输到Palm上，导致Palm操作系统受到恶意攻击的威胁大增。

　　最近，美国计算机安全专家也发出警告：安装Palm操作系统的手持计算机设备正日
益面临黑客攻击的威胁，因此用户不应将“任何重要或是保密的信息”储存在这种手持
设备中。储存在PDA中的数据可以被黑客轻松地窃走，另外这种设备本身与互联网相连之
后还很容易被黑客利用进行病毒的传播。因此，本文仅阐述Palm OS的反病毒措施。
三、当前攻击PDA设备的病毒有哪些？
　　第一个袭击PDA设备的病毒Liberty-Crack.A，该病毒就是一个典型的Palm病毒。传
染途径以在线聊天软件IRC以及在线下载为主。当该病毒目前的危险性并不高。这种隐藏
在一个程序当中的特洛伊木马病毒通过修改Liberty 1.1（一款运行于Palm上的Gameboy
模拟器）而非法允许用户在Palm OS运行Boy游戏。在用户运行之后，Palm.Liberty.A将
删除所有没有预装在PDA上的文件。
　　PalmOS/Vapor.741是第二个破坏性较小的特洛伊木马病毒，它使得所有的应用程序
按钮消失。 尽管程序没有被删除，用户仍需要使用PC重写已感染病毒的文件。
　　第三个病毒是Palm OS/Phage.963，曾于2000年9月21日对PDA进行过攻击。PalmOS/
Phage病毒可直接运行，如果染毒的PDA与其他PDA进行信息共享，则病毒可从一部PDA传
播到另一部PDA上。该病毒的主要攻击目标就是使用Palm OS的无线设备。和前面的PDA病
毒不一样的地方在于，它是通过文件共享方式,利用email作为直接的传播方式，在病毒
进入PDA之后，它就开始破坏PDA设备中所有未预装的程序。当用户试图去装载一个已感
染病毒的应用程序时，屏幕变成暗灰色，并关闭程序。
　　最近PDA病毒（如Liberty Crack和Phage）的爆发, 表明威胁PDA的病毒是确实存在
的，病毒程序正盯着PDA作为其潜在的病毒繁殖基地。
四、PDA病毒的传播方式
　　病毒要想对PDA产生破坏作用，其代码必须有一个进入PDA的入口处（点） ，现在已
经鉴定出来的病毒传播方式有三种：同步、红外线和网络接入。
　　1、同步
　　同步是最通常的数据传输方式。该功能被用于台式电脑和其他数据设备之间进行数
据备份、文件管理、安装新设备应用程序等同步操作。所有PDA操作系统都有同步功能。
尽管同步能够方便用户的使用，但它也是病毒传播到用户PDA最容易的方式。
　　2、 红外线
　　现在市面上流行的很多PDA都配置有红外（IR）接口。带有IR功能的PDA设备间能够
无缝地接收和发送数据，当然也就能很容易地接收和发送具有潜在危害的病毒数据。将
来，PDA上可以设计一个警报功能，使得IR接口不论在什么时间接收数据，它都能够被触
发。并且该警报功能也可以被禁止，当然在禁止情况下，那些恶意程序就会在用户不知
道的情况下进行数据交换。尽管现在大多数用户没有使用他们PDA上的红外数据传输功能
，但分析家相信在不久的将来红外线会得到广泛应用。
　　3、 网络接入
　　在病毒攻击PDA的三种方式当中，通过网络接入方式进行的病毒传播威胁性最大。
　　如果用户的PDA具有Internet接入和消息传递能力的话，那么通过对网络的访问这些
PDA极易遭受到病毒攻击。 当带有可执行的文件附件的邮件在手持设备上运行时，那些
包含恶意代码的文件就是一个潜在的危险。手持设备通常预装有MAIL客户端可编程软件
。但病毒并不被局限于仅利用WEB浏览器或MAIL客户端的可编程功能，它也能通过开放的
监听服务器端口获得和Internet的远程接入， 然后就开始发送或接收其它的恶意程序。
另外，手持设备操作系统还具有“和Internet上其他机器很容易建立连接，利用标准TC
P/IP协议把数据传输到其他机器或从其他机器把数据传回来”的功能。虽然目前全球所
有手持设备用户中仅有5-10%使用无线接入，但预计到2004年，拥有无线手持设备的用户
数量将增加到40%。
五、软件解决方案
　　软件解决方案提供了一条保护PDA感染病毒有效途径。PDA反病毒软件解决方案利用
的是数据库和特征行为保护方式。
　　1、数据库解决方案
　　数据库解决方案利用的数据库是通过特征字节模型被鉴别出的已知病毒签名数据库
。当反病毒程序运行时，这些特征字节模型就同文件、启动记录、内存、其他执行代存
储位置进行比较。如果有病毒，就能够被看到。数据库解决方案一直被用于台式电脑，
现在也开始应用在PDA上。 这种类型的反病毒程序捕捉已定义到数据库中的病毒是非常
有效的。然而，数据库方式被用在PDA时存在两个限制。
　　第一，它仅能使用户对已知病毒进行有效的查杀，而且效果要远远好于对新病毒的
查杀。当新病毒出现的时候，它需要反病毒公司花费几个小时甚至几天的时间去创建补
丁和升级程序。这种“滞后”时间足可以使恶意程序在新的补丁和升级程序出现之前产
生巨大的破坏作用。
　　第二，PDA上的文件空间较小（和PC相比），因而当工作在PC上的大型数据库用在P
DA上会变的不太适合。目前包含PDA病毒的数据库还比较小，因为已知的PDA病毒数量不
是很多。但是到PDA病毒数量急剧增加的时侯，PDA的防病毒数据库可能会变的过大而无
法在该设备上存储。据知，McAfee、Symantec（赛门铁克）、Trend Micro（趋势科技）
等公司在手持设备使用的都是病毒数据库解决方案。
　　2、行为解决方案
　　行为反病毒软件是在行为的基础上扫描病毒而不是在已知病毒码的基础上进行扫描
。这种软件允许公司开发的程序在大小上随着病毒的增加而增加。Finjan Software目前
正在创建针对PDA病毒的基于行为的解决方案，McAfee公司也发布了基于行为的Guard D
og for Palm。
　　尽管PDA的行为反病毒解决方案有助于克服数据库方法的主要局限性，但是它自身也
存在一定的不足。一些行为程序需要具有较高能力的专家队伍来安装和配置。还有一点
就是一些编制灵巧的病毒程序可以通过某些途径来蒙骗行为监测程序，这使行为反病毒
程序的“不需要补丁和更新”的概念打了一定的折扣。
总结
　　无论是PDA设备，还是台式PC，在数据的安全维护方面都同样不可轻视。PDA病毒会
不会有一天象PC病毒和网络病毒那样泛滥？PDA设备能否在防病毒软件的保护下经受得起
病毒的侵扰而安然无恙呢？无论怎样，你都要记住那句老话：安全在于防范，防患于未
然！

--
当爱情不再完美我宁愿选择无悔不管来生多么美丽我无法失去今生对你的记忆!

※ 来源:·听涛站 tingtao.dhs.org·[FROM: 匿名天使的家]