长久以来，设备端口是否应该开放始终是一个备受争议的话题。趋势科技最近发现了一个与TCP端口5555紧密关联的问题，再一次将争议推至前台。

TCP端口5555旨在允许通过Android调试桥（ADB）管理设备，这是一种Android SDK功能，允许开发人员轻松地与设备通信并在其上运行命令或完全控制它们。但ADB端口应在商用设备上禁用，会要求启用初始USB连接。而如果制造商在发货之前打开了端口，就可能会使用户暴露给攻击者。

其实TCP端口遇到问题已经不是初次了，仅在今年就有一例：利用Mirai代码的修改版本的蠕虫曾搜索具有开放端口5555的设备，以进行挖掘加密币。

最近，趋势科技在7月9日至10日和7月15日检测到两个可疑的活动峰值后，发现了一个使用端口5555的新漏洞，第一波网络流量主要来自中国和美国，而第二波主要涉及韩国。

通过对网络数据包的分析，趋势科技确定恶意软件通过扫描的开放式ADB端口进行传播。它通过ADB连接删除第1阶段shell脚本，从而在目标系统上启动。该脚本下载了负责启动第3阶段二进制文件的两个第2阶段shell脚本。

在感染设备之后，恶意软件终止一系列进程并启动其自己的子进程，其中一个负责将恶意软件作为蠕虫传播。它还会打开与命令和控制（C＆C）服务器的连接。

此有效载荷包含一个标头，其中包含要发送的目标数和IP数据包类型，这可能表明恶意软件旨在启动分布式拒绝服务（DDoS）攻击（它可以发送UDP，TCP SYN和TCP ACK数据包（随机有效载荷随机长度），UDP随机有效载荷通过通用路由封装（GRE）和TCP SYN进行隧道传输。

此外，趋势科技还挖掘了一个有趣的发现。研究时下载的二进制文件连接到C＆C服务器95 [.] 215 [.] 62 [.] 169，与Mirai僵尸网络的Satori变体有关。深入研究活动中涉及的两个IP地址的GeoIP信息，发现它们位于欧洲; 西班牙95 [.] 215 [.] 62 [.] 169和荷兰185 [.] 62 [.] 189 [.] 149。有理由相信同一作者背后有这个恶意软件的样本和Satori。

超过48,000个物联网系统容易受到ADB的攻击。并非所有易受攻击的系统都会暴露，因为它们通常隐藏在具有网络地址转换（NAT）的路由器后面。然而，由于配置错误，可以将它们制成可访问的手动或通过UPnP NAT穿越。无论用户的密码强度如何，所有多媒体设备，智能电视，移动电话和其他没有额外保护的设备，此恶意软件都可以轻松进攻。

解决措施：轻松更改其移动设备设置的用户可以进入设置，选择“开发人员选项”并确保关闭“ADB（USB）调试”和“来自未知来源的应用程序”。默认情况下，后一个设置处于关闭状态，但应进行双重检查以确保。如果用户怀疑其设备已被感染，则执行恢复出厂设置可以清除有效负载。一般条件下，移动设备用户应定期将其设备更新为最新版本。这些更新不仅可以改善其设备的功能，还可以解决攻击者可以利用的漏洞。