2011年11月，基于QQ手机管家产品安全服务的腾讯移动安全实验室一共截获被植入手机病毒数2031个，其中Symbian平台截获被植入病毒软件包数1340个，Android平台截获被植入病毒软件包数691个。

本月发现的Symbian、Android平台病毒数量相比上个月都有非常明显的增加。由此可见，由于目前基于Symbian平台的用户绝对数还是非常大，病毒背后的传播价值也非常大，制毒者不会轻易放弃这一平台。与此同时，Android平台病毒的增长依然保持着高度活跃，与上个月报告预期结果一致，Android平台的病毒增长趋势会更加明显。随着使用Android手机的用户越来越多，Android的市场份额越来越大，特别是将近年底，假期节日越来越多，传播性更强，病毒将迎来高度活跃期。

一、Symbian系统平台

1.1 主要特点：

2011年11月，Symbian平台手机病毒的增长相对于过去几个月的增长数都更为突出，源于年底手机用户消费行为更加活跃，制毒者的渠道推广也更活跃。发现的手机病毒当中，资费消耗、系统破坏、诱骗欺诈占绝大比重，分别占据了35%、31%和24%的比例。资费消耗成为这个月Symbian手机病毒的最主要类型，其次系统破坏类病毒也上升到第二的位置。病毒捆绑下载插件推广软件在11月份显得尤其活跃，是造成了资费消耗类病毒上升到第一位的最重要原因。

1.2 典型病毒：

以下是2011年11月在Symbian平台发现的一些较为典型的病毒

(1)FireWaiting.[伪安装程序]

病毒描述：该病毒以“安装程序”为名诱导用户下载安装，安装后无任何启动图标，自激活后常驻后台悄悄联网下载其他恶意插件，消耗用户数据流量，有可能给用户带来高额的流量费;同时还收集联系人、通话记录和手机IMEI号等用户信息并上传到指定服务器，泄露用户隐私;占用大量系统资源，无法手动将其卸载，可能影响手机或其他软件的正常运行。

(2)sysantirus.e.[伪系统杀毒]

病毒描述：该病毒以手机安全类软件“系统杀毒”为名，诱使用户下载安装，病毒运行时会对手机进行全盘联网云查杀，在扫描过程中会提示发现三个分别叫“AVK.Up***.A，AVK.Ip***.A，APK.Ha***.A”的病毒，同时提示“尊敬的用户：检测到您的手机存在多个恶意扣费病毒、软件捆绑程序及恶意扣费木马，请立刻点击确认进行删除...”，用户一旦点击确认清理，将会被一次性扣取**元，并提示成功清除病毒“AVK.Up***.A”和“恶意扣费”，有可能给用户带来一定的经济损失;同时，还会无提示强制联网，消耗用户数据流量，有可能使用户产生高额的流量费用。

(3)EruMessage.[幺魅短信]

病毒描述：该病毒以“幺魅短信”为名诱导用户下载安装，无提示强制联网，消耗用户数据流量;私自发送短信并删除运营商的反馈信息，有可能在用户毫不知情的情况下订购高额的SP收费业务，给用户带来一定的经济损失;同时无法完全关闭，占用大量系统资源，可能对手机和其他软件的正常运行造成影响。

(4)CommerceTone.[商务管家]

病毒描述：该病毒以“商务管家”为名诱导用户下载安装，病毒自激活后会自动发送短信到50***39，没有已发记录，有可能在用户毫不知情的情况下订购高额的SP费用，给用户带来一定经济损失;同时，无法完全关闭，占用大量系统资源，可能影响手机或其它软件的正常运行。

(5)replayforrmvb.b

病毒描述：该病毒伪装成某些播放软件诱导用户下载安装，安装后没有启动图标，自激活后常驻后台自动联接网络静默安装其他恶意插件，消耗用户流量，给用户带来一定的经济损失，甚至导致手机或软件无法正常使用;同时，试图终止手机中某些安全杀毒类软件进程，有可能给用户手机带来进一步威胁。

二、Android系统平台

2.1 主要特点

2011年11月，Android平台病毒增长速度依然快速，开放的Android平台已经逐渐成为手机病毒频频爆发的高危平台，随着Android系统智能终端用户基数的越来越大，病毒危害涉及的广度也将会越来越大。在Android平台本月发现的病毒当中，隐私获取类病毒以33%的高比例占据了第一位，设计用于获取用户联系人、短信、通话记录、GPS位置信息等隐私信息的病毒开始增长明显。其次，资费消耗占25%、诱骗欺诈占14%，都占据非常大的比例。除此之外，系统破坏类病毒增长显著，出现了不少获取ROOT权限的系统破坏类病毒。

2.2 典型病毒

以下是2011年11月在Android平台发现的一些较为典型的病毒

(1) safesys.[root破坏王]

该病毒通常伪装成某些热门小型应用，在使用过程中会弹出root权限授予请求。如果被授予了root权限，则在后台下载其它恶意程序并静默安装，给用户手机安全造成威胁。

(2) go360.[图标密雷]

病毒描述：该病毒伪装成拼图游戏应用诱导用户下载安装，启动后会自动在桌面生成若干程序图标，点击图标提示软件更新，诱导用户下载其它恶意应用，给用户的手机安全造成威胁。

(3) mailx.[古哥]

病毒描述：该病毒是一款间谍软件，安装后无启动图标，并在后台自动启动程序，读取用户短信和通话记录，通过邮件的形式发送到指定邮箱，严重泄露用户的隐私信息。

(4) legacy.a

病毒描述：该病毒常伪装在其他游戏类软件中，安装后病毒会尝试获取手机Root权限，并在后台无提示联网下载安装包以及安装卸载apk包，可能消耗用户手机大量数据流量，给用户带来高额流量资费;同时，病毒会获取手机IMEI、IMSI、手机号码等信息，并联网回传至病毒服务器，给用户信息隐私带来严重安全威胁。

(5) syservice.[系统服务]

该病毒以“系统服务”为名诱导用户下载，安装后无图标显示，运行时病毒会在后台开启多个程序，并记录手机GPS位置信息，通话记录，短信，电话本，通话录音等信息，同时将这些信息保存后上传到服务器，严重泄漏用户隐私。

(6) mobi

病毒描述：该病毒一旦被激活，则会在后台偷偷发送扣费短信到指定的端口号，使用户不觉察的情况下遭受经济损失。

(7) roolurl

病毒描述：该软件经常伪装成软件安装器，当用户启动该软件后，软件会在后台私自发送短信、恶意扣费，给用户的财产安全造成严重威胁。

(8) dbsoft.[宅男必备]

病毒描述：该病毒伪装成一款写真集软件诱使用户下载安装，病毒激活后利用Android系统漏洞获取root权限，通过终端设备无提示强制联网，下载并静默安装其它恶意软件。不仅消耗用户数据流量，有可能给用户带来高额的流量费用，并可能影响手机或其他软件的正常运行和使用。

三、传播渠道来源分布

根据2011年11月腾讯移动安全实验室后台病毒渠道的数据显示，手机病毒相关制毒者、制毒机构开始瞄准了电子市场的高流量性。尽管各电子市场都已经接入相关的安全杀毒厂商检测服务，把许多病毒挡在电子市场门外，但有些电子市场为了抢占先机，会采用先上线后进行安全性检验的方法，如果被检测确认是病毒才进行下线，这里就会形成了一个时间差，病毒可能利用这个时间差进行了一定规模的传播。外加上某些制毒者先通过正常软件来获得进入电子市场的机会，用户下载之后，再通过软件版本升级或者云端更新使用户染上病毒，让病毒的传播有了更强的隐蔽性，所以选择电子市场的传播开始成为最有效的传播渠道，这一点传播特性在Android平台发现的病毒上显得特别明显。

各渠道发现占比：

1. 电子市场：通过一些没有接入安全检测的电子市场进行传播，占31%;

2. 手机论坛：通过上传论坛附件或提供下载网络硬盘下载地址方式，占23%;

3. 手机资源站：通过录入或开设手机下载WEB/WAP资源站点，提供直接的软件下载地址，占18%;

4. 软件捆绑：热门软件尤其是游戏软件经常包含病毒或者远程下载，占16%;

5. 微博、博客：通过发博客、微博附带下载地址链接，占3%;

6. ROM系统内置：rom制作者因为利益的驱动在rom里预装病毒软件，占3%;

7. 其他：互联网任何形式的自助发布渠道和平台，占6%

由于病毒的伪装能力越来越强，相关软件升级、云端更新的技术得到广泛应用，建议手机用户需要下载软件的时候，选择口碑比较好、评价比较高的软件，对于一些知名软件尽可能到其官方网站进行下载，不要轻易下载来历不明的陌生软件。安装如QQ手机管家一类的手机安全软件，及时升级病毒库，定期查杀。

QQ手机管家官方网站： http://msm.qq.com/

QQ手机管家官方微博： http://t.qq.com/qqsecure

腾讯移动安全实验室官方微博：http://t.qq.com/QQSecurityLab

腾讯移动安全实验室

2011年12月1日