近日,腾讯移动安全实验室截获一个全新的Android木马Oldboot,也是首个在Android平台上发现的Bootkit类病毒。Bootkit是所有在开机时比系统内核更早加载,实现内核劫持的技术。Oldboot木马可以肆意修改设备的boot分区和启动配置脚本,导致用户手机可能出现大量自己没有安装过的软件,而这些软件通常包含大量广告甚至是恶意程序,对用户形成恶意骚扰。
据腾讯手机管家安全专家分析,由于该木马在系统启动的早期创建系统服务和释放恶意软件,加之Boot分区的RAM Disk的只读特性,手机安全软件还无法对该木马进行清除,用户也无法手动删除这些软件和服务。
腾讯移动安全实验室目前已经摸清了病毒的工作原理和发作的整个流程,并第一时间针对此木马病毒推出了系统级别的Oldboot专杀补丁工具。该专杀工具除了具备清除病毒子包的功能,还能进一步为系统打上补丁,阻止恶意进程正常执行,让恶意进程完全失效,从根本上实现了抑制了病毒的行为。该专杀工具解决方案的优点在于用户卸载专杀工具以后仍然能够有效防御病毒行为,是全球首个真正意义上的系统补丁。
腾讯手机安全专家还表示,该木马很可能是病毒作者通过将包含了恶意文件的boot.img镜像文件刷到手机设备的boot分区中,从而感染用户手机的boot区。所以广大手机用户尽量从官方渠道购买安卓手机,同时在刷机的时候,尽可能选择官方渠道来源的rom刷机包,尽量不要到手机论坛、非安全软件资源网站下载。
另据腾讯移动安全实验室《2013年手机安全报告》显示,rom病毒已经占据手机感染病毒渠道的13%。许多手机设备在到达用户之前就已经成为暗藏病毒的“手雷”,而且非常难卸载删除,手机内置病毒的安全问题也变得越来越严峻。
广大腾讯手机管家用户,可以通过腾讯手机管家“实用工具”,添加集成了Oldboot木马专杀工具的“顽固木马专杀”插件程序,对各种木马专杀类病毒进行全面扫描,进一步对手机系统打补丁从而有效防御和清除该木马。
