“开心鬼”手机病毒大剖析（sexyspace）

　　近日，坊间流传国内出现了一款塞班S60第三版手机病毒——“开心鬼”病毒(属于Transmitter.C变种之一，也称sexyspace)。更有消息称，国内已有超过百万用户收到类似短信，感染者超过数万。多家国内外反病毒安全厂商都第一时间截获了病毒样本，并给出解决方案。

　　据传该病毒是前段时间全球最大手机安全厂商——网秦天下在沙特地区截获的色情短信病毒的国内变种。“开心鬼”病毒和沙特色情短信病毒最大的不同在于，“开心鬼”病毒在延续色情短信的同时，伪装为国内知名SNS网站开心网平台上的WEBGAME的“温馨提示”短信，并且为此注册了一批与开心网相似的域名，使得其内容极具有迷惑性。用户一旦点击短信后跟的链接，将会在后台下载安装病毒程序，安装成功后病毒会自动连接网络，持续大约3分钟左右。随后，病毒会以10至15秒左右的间隔对外发送病毒短信。整个过程都是在后台进行的，而且短信发送记录全部被删除，用户很难察觉。

　　且来看看“开心鬼”的真面目

　　笔者在了解“开心鬼”病毒的基本情况后，尝试用PC连接病毒下载地址，发现目前仍然能够下载该病毒。病毒文件名为：sexyspace.sisx，是塞班S60三版系统的软件格式，属于自签证sis软件。

病毒下载图

病毒文件

　　笔者尝试在测试机上安装病毒文件获得成功。安装后，并无明显异样，之后，手机待机画面出现联网标志，病毒开始后台联网。几分钟后，病毒在后台开始发送短信，发送信箱无任何记录，在通讯记录中能看见对大量陌生号码的发信记录，大概发送了300多条短信后，病毒开始暂停工作。约半小时后，病毒再次工作，并且此次测试SIM卡中预先存的手机号收到了病毒短信。从测试手机号收到的短信内容上看，大多数还是黄色短信，以开心网名义的短信大概占到30%左右，而且短信内容和网址没有必然联系，两者间应该是有限的随机组合。

　　在测试结束后，笔者尝试用网秦天下提供的手机杀毒查杀该病毒，发现该产品已能够识别并彻底清除该病毒。在此提示用户，如果不幸感染病毒，可到网秦天下官网www.netqin.com下载杀软查杀。

　　利益何在?

　　在测试的过程中，一个问题一直困扰着笔者。那就是，病毒制造者的利益何在?该病毒只是大面积发送短信，消耗用户资费，并未强制用户定制SP，也未对手机造成实质性伤害。难道只是为了虚张声势而扩散?亦或是留下一个“后门”，窃取用户信息?还可能是为未来病毒而进行的一次DEMO测试?不管是基于何种目的，此类病毒迷惑性大、扩散性强、传播范围广，手机用户不可掉以轻心。

　　手机安全是重点

　　笔者在调查过程中曾与网秦天下科技有限公司的一位Symbian软件工程师进行了沟通，他认为，未来的几年，将是手机安全关键的几年。因为随着智能手机普及和3G网络普及，手机用户无线上网互动的增加，手机所受到的安全威胁将会越来越严重。而最大的问题是，目前手机用户的安全意识还很差，相比PC安全上的态度，大多人都认为手机安全威胁并不大。其实不然，从今年手机病毒事件频发就能看出，手机病毒已经处在一个高速增长期，其潜在的威胁正在与日俱增。

　　在此，笔者提醒广大智能手机用户，一定要增强手机安全意识，在日常使用手机时养成良好的防护习惯，如在公共场合关闭蓝牙，谨慎下载应用软件等。当然，为手机装备一款专业的手机杀毒软件来防患于未然无疑是最佳选择。