不死木马

2014年1月，360手机卫士宣布捕获全球首个安卓手机“不死木马”（oldboot），并发布了专杀工具。与以往所有木马不同的是，该木马被写入手机磁盘引导区，会偷偷下载大量未知软件，消耗话费。全球任何杀毒软件均无法彻底将其清除，即使可以暂时查杀，但在手机重启后，木马又会“复活”。1

基本信息

据360安全专家分析，“不死木马”被植入手机磁盘引导区有两种方法：

1）攻击者曾物理地接触到被感染手机，并将包含了恶意文件的boot.img镜像文件刷到设备的boot分区中；

2）在系统运行期间，获得root权限之后，通过dd工具将恶意文件强行地写入到磁盘的boot分区中。

但所有的数据都支持第一种可能性，首先，360得到的被感染手机购买于中关村[10.08% 资金研报]某大型IT卖场，并非购买于官方渠道。

其次，被感染设备（Galaxy Note II）安装了Samsung官方的系统，其中的普通系统软件均包含有效的Samsung官方签名，但是recovery分区已经被替换为一个第三方的ROM。此外，boot分区下的所有文件都拥有相同的时间戳（2013-05-08 17:22）。

最后，基于360的云安全技术，所有被感染设备的型号中，超过一半都不是流行的大众机型。而如果采用第二种攻击方法进行远程感染，目标是随机不可控的，被感染设备型号分布应该更接近于Android设备的市场分布情况。

所以，可以断定，“不死木马”是在手机的流通和销售的某个环节，被人手工刷入手机中，再将带毒手机卖给消费者的。1

如何防范