赛门铁克公司近日发布了2012年9月份《赛门铁克9月份智能安全分析报告》，本期报告分析了攻击者是如何控制他们用来传播垃圾邮件和恶意代码的网络服务器的，并特别分析了一个基于PHP的工具，该工具经常用于控制和更改这些网络服务器的配置。除此之外，报告还揭露了一个伪装的相当“高科技”的恶意Android应用程序。该应用程序会误导用户相信他们能通过太阳能为其设备充电，但实际上Android设备中根本就没有太阳能电池板，即将光转化成电的核心部件。显而易见，该应用根本达不到充电的目的，而是攻击者窃取用户敏感信息的幌子。

　　探究垃圾邮件和恶意软件背后的始作俑者

　　在整个威胁环境中网络服务器被感染是经常发生的事情。而垃圾邮件制造者和恶意软件作者非常喜欢被感染的服务器，因为他们能够降低托管自身服务器的成本和复杂性，并增加了安全公司处理的难度。所以，这些被感染的网络服务器往往就成为了垃圾邮件传播的核心，它们还能托管用于传播恶意代码的溢出工具包。

　　近期，一个Symantec.cloud系统在哈萨克斯坦发现了一个被感染的网络服务器。该服务器是共享的托管服务器，为许多合法网站提供托管。然而，垃圾邮件制造者向该服务器上传了一个基于PHP的shell应用，使他们通过一个便捷的网络界面就可以完全控制该服务器。

图1 管理被感染的网络服务器的PHP应用程序界面

　　该应用程序的功能非常全面。屏幕顶端显示了系统信息：空闲磁盘空间、Linux内核版本等。该应用（BOFF）默认以文件管理器视图打开，允许创建、查看、下载和重命名文件。该应用还支持许多其他功能，其中有一个控制台，能够有效地提供对服务器的基本shell访问。如果这一层访问不能达到目的，还可以选择在任意端口创建一个服务器，默认使用31337——“黑客语”中代表“精英”。一旦这个shell的一些其他特征被发现，任何怀疑它是恶意工具的信息都会被消除，因为攻击者会进行如下操作：

　　·运行任意PHP代码，如果启用了PHP安全模式，则绕过PHP安全模式。

　　·暴力破解并进入FTP、Mysql和Postgres账户。

　　·使用快捷键找到网络服务器配置文件。

　　该界面的另一部分还列出了安装在服务器上的userful工具（如编译器）和下载工具（如cURL或wget）。

　　所有这些功能使攻击者能够利用该系统，适时发送垃圾邮件或创建恶意网页。除此之外，赛门铁克通过这个shell还发现了更有趣的事情。这个服务器上有几个非常混乱的PHP文件，其中的一个文件是一个简单但非常有效的“后门”，允许向该服务器上传任意文件。一旦运行文件，这个Java脚本就会重新指向一个含有各种威胁的网页。任何被指向这些网页的计算机都会沦为攻击的受害者。

　　该工具使攻击者可以轻而易举地命令一个被感染的网络服务器执行各种任务。非常有趣的是，我们发现控制这个网络服务器的黑客在同时传播垃圾邮件和恶意链接。或许感染计算机比传播垃圾邮件更有利可图，也或许这使垃圾邮件制造者可以通过垃圾邮件发送僵尸软件而感染更多的计算机。

　　以假乱真的“高科技”Android 应用程序

　　近来，Android应用程序市场呈现出欣欣向荣的景象，而这个迅速发展的平台也招来了越来越多的垃圾邮件制造者，其攻击和垃圾邮件的类型也变得更加新奇，一些甚至令人难以置信。

　　智能手机用户都知道电池寿命是一个非常困扰的问题。为此，许多针对这一问题的应用程序出现了。比如，某些应用可以提供电池电量的实时状态，当电池处于低电量时发出提醒。还有一些应用通过关闭一些不必要的功能使电池的使用时间更长。这些应用程序的效果不尽相同，然而，这其中也不乏恶意应用程序，比如“Battery Long”（Android.Ackposts），该应用程序表面上好像是用于延长电池使用时间，但实际却是从被感染的设备中窃取信息。

　　以下面的Android.Sumzand应用为例说明。该应用程序宣称能够将手机显示屏转变成一个太阳能电池板，这样在太阳光下就能够为电池充电。然而，该应用程序还有一些隐藏功能，它还可以从你的手机里窃取联系人数据。

图2  Android.Sumzand 中的假太阳能充电器

　　赛门铁克建议，在手机安装上真正的太阳能电池板以前，最好还是用传统方式为手机充电：插入墙上的插座或使用USB端口。此外，你需要谨慎下载和安装应用市场上花样繁多的应用程序。如果一个应用程序需要一些看似非常规的许可来达到常规的目的，那么就不要安装这个应用。