Doomboot.k
Технические детали:
Троянская программа для смартфонов, работающих под управлением ОС Symbian.
Вредоносная программа представляет собой SIS файл.
Размер файла - 63 393 байта.
Распространение:
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать и запустить вредоносную программу.
Вирус маскирует себя под специальную версию антивирусного приложения exoVirusStop v 2.13.16. При установке выдается следующее сообщение:
«Установить "exoVirusStop v 2.13.16"?»
При инсталляции вредоносная программа создает в телефоне 17 файлов
C:\ETel.dll
C:\etelmm.dll
C:\etelpckt.dll
C:\etelsat.dll
C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.app
C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.MBM
C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.MDL
C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.rsc
C:\system\apps\EVS\EVS.aif
C:\system\apps\EVS\EVS.app
C:\system\apps\EVS\EVS.rsc
C:\system\apps\EVS\EVS_caption.rsc
C:\system\apps\EVS\exovirusstop.mbm
C:\system\apps\velasco\marcos.mdl
C:\system\apps\velasco\velasco.app
C:\system\apps\velasco\velasco.rsc
Кроме указанных выше файлов в теле вредоносной программы имеется текстовой файл PopUp0.txt, в котором содержится следующая информация:
«For updates visit
www.exosyphenstudio.com.
If there is a virus re-boot your phone after disinfection»
Отметим также, что по окончанию процесса инсталляции вредоносной программы текст файла PopUp0.txt на экране мобильного устройства не выдается.
Деструктивная составляющая:
После инсталляции вредоносной программы происходит подмена системных библиотек на поврежденные файлы. Из-за чего после перезагрузки системы мобильное устройство не загружается.
Рекомендации по удалению:
Сброс состояния памяти и настроек телефона в заводской вид служебным кодом (для смартфонов Nokia код *#7370#) или хард ресет, либо сменой прошивки телефона.
