Назад в дневник Пишет .L
Мобильные вирусы!Мобильные вирусы!
Сообщения о первых мобильных вирусах стали появляться еще в 2000 году. Конеч-но, вирусами их назвать было довольно сложно, скорее это были сочетания служебных ко-манд (USSD), которые можно было отправить по SMS. Такие сообщения забивали соответ-ствующие ячейки памяти и при удалении телефон зависал. Особенно распространены такие команды были для телефонов Siemens и Nokia.
Caribe
Первый сетевой червь, распространяющийся через протокол Bluetooth и заражаю-щий мобильные телефоны, работающие под управлением OS Symbian. Обнаружен 14 июня 2004.
В настоящий момент известны 2 версии данного червя, отличающиеся только наличием строчки "VZ/29a" в выводимом на экран тексте Window Alert.
Червь представляет собой файл формата SIS, caribe.sis. Размер файла - 15092 байт (или 15104 байт).
Данный файл содержит в себе несколько объектов:
1. caribe.app: размер 11932 байт (или 11944 байт)
2. flo.mdl: размер 2544 байт
3. caribe.rsc: размер 44 байта
Инсталляция
При запуске червь выводит на экран сообщение "Caribe" (или "Caribe - VZ/29a")
И затем инсталлирует себя в различные каталоги:
с:\system\apps\caribe\caribe.app
с:\system\apps\caribe\flo.mdl
с:\system\apps\caribe\caribe.rsc
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.SIS
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.APP
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.RSC
C:\SYSTEM\RECOGS\FLO.MDL
Каталог "SYMBIANSECUREDATA", создаваемый червем, является скрытым и не виден пользователю зараженного телефона.
В случае удаления файлов червя из каталога "APPS", червь будет продолжать свою работу в системе.
Размножение
При каждом включении зараженного телефона червь получает управление и начи-нает сканировать список активных Bluetooth-соединений. Затем червь выбирает первое дос-тупное соединение из списка и пытается передать туда свой основной файл "caribe.sis". В этом случае у пользователя принимающего телефона на экран выводится сообщение:
Receive message via Bluetooth from unnamed device?
В случае, если пользователь подтвердит прием файла, то его телефон примет зараженный файл и предложит запустить его на исполнение (зависит от модели телефона):Install Caribe?
Червь не содержит никакой побочной функциональности, кроме саморазмножения. Однако зараженный телефон может работать нестабильно из-за постоянного наличия червя в памяти и его попыток сканирования активных Bluetooth-устройств. Маскируется под утилиту для защиты телефона Caribe Security Manager.
Чуть позже появились сообщения о новом вирусе, поражающем сотовые телефоны под опе-рационной системой Symbian. Вирус находился во взломанной нелегальной версии игры "Mosquitos 2.0" и работал только в смартфонах на базе ОС Symbian Series 60. После того как владелец телефона скачивает пиратскую копию игры и запускает ее на своем телефоне, скрытый в ней троянец начинает рассылать текстовые сообщения (SMS). Кроме рассылки SMS другого вреда вирус не причиняет. О его существовании можно узнать, взглянув на список отосланных сообщений или изучив счет за услуги мобильной связи. Удаление вируса трудностей не представляет - достаточно удалить игру, содержащую его.
Дело в том, что разработчики игры Mosquitos встроили функцию автоматической отправки SMS на платный номер. Таким образом они пытались ограничить пользователя в возможности приобретать более дешевые версии игры в других странах. Если игра была ку-плена в другом регионе, то, чтобы активировать ее, на один из таких номеров отсылалась SMS. Однако после многочисленных жалоб со стороны пользователей данная функция была изъята из игры. В незаконных ее копиях, которые лежат в Сети, функция, естественно, оста-лась.
Skull
Троянская программа, заражающая мобильные телефоны, работающие под управ-лением OS Symbian.
Потенциально заражению могут оказаться подвержены все мобильные телефоны, исполь-зующие платформу Symbian.
Троянец представляет собой файл формата SIS, возможное имя файла: "extended theme.sis". Размер файла - 1192117 байт.
Троянец был распространен через различные форумы, посвященные мобильным телефонам, как программа, содержащая новые иконки, обои рабочего стола и т. д.
Файлы приложений (app), созданные троянцем, являются обычными приложениями платформы Symbian и не содержат вредоносного кода. Вредоносными являются aif-файлы, которые создают иконки приложений в виде черепа и не дают доступа к указанным приложениям.
Таким образом, все приложения телефона перестают функционировать. После заражения телефон можно использовать только по его прямому назначению: звонить и принимать вызовы, то есть просто разговаривать. Все остальные функции (SMS, MMS, камера, органайзер и т. д.) перестают работать.
В январе 2005 года появились сообщения о вирусе Lasco.a. Это червь для сотовых телефонов, работающих под управлением Symbian OS, заражающий исполняемые файлы (в частности SIS-архивы) для данной платформы. Вирус написан автором последних версий Symbian-червя Worm.SymbOS.Caribe и основан на его коде, поэтому процедура размножения посредством BlueTooth не отличается от таковой в случае с Worm.SymbOS.Caribe.
Помимо функции BlueTooth-червя, вирус также содержит функцию заражения файлов. При запуске он сканирует диск в поисках SIS-архивов, а найденные файлы пытается заражать посредством внедрения своего кода внутрь архива.
Вирус представлен в двух вариантах: приложение для платформы Win32, заражающее найденные SIS-файлы, и приложение для платформы Symbian.
velasco.sis, размер 15750 - основной файл вируса
sisinfect.exe, размер 69632 - инфектор, работающий в Windows. Сканирует локальные диски в поисках SIS-архивов, найденные пытается заражать, внедряя в них содержимое velasco.sis. marcos.sis, размер 1579 - содержит модуль marco.mdl, устанавливающий velasco.sis в автозагрузку системы Symbian.
Вирусные файлы располагаются в следующей директории мобильного устройства:
C:\\SYSTEM\\SYMBIANSECUREDATA\\VELASCO\\
Файл автозагрузки находится здесь:
C:\\SYSTEM\\RECOGS\\MARCOS.MDL
В марте 2005 года был обнаружен еще один вирус - CommWarrior. Вирус атаковал мобильные телефоны, используя MMS или Bluetooth, и приходил в виде письма с содержанием от порнографического до обновлений Symbian. Всего у вируса есть 20 различных заготовок сообщений. Но сам по себе CommWarrior не активируется, пользователь сам должен его запустить. Помимо собственной популяризации вирус еще и тратит деньги пользователя, рассылая MMS всем, кого найдет в адресной книге. Более серьезного ущерба он не наносит.
В апреле 2005 года финская компания F-Secure обнаружила очередной вирус, "убивающий" смартфоны под управлением Symbian OS. Распространяется он под видом программы "Kill Saddam By OID500.sis". Желающие подстрелить Саддама могут попрощаться со своими данными - в этой программе прячется троян Fontal.A, устанавливающий в систему поврежденный файл шрифта. До очередной перезагрузки он себя никак не проявляет, но всячески препятствует попыткам последующей перезагрузки.
Также известно о вирусе Gavno, инфицирующем смартфоны под управлением ОС Symbian. Этот троян полностью блокирует функции коммуникатора, отвечающие за прием и передачу голосовых вызовов в сети. Распространяется он под видом заплатки patch.sis. После запуска эта программа рассылает свои копии на все устройства, доступные через беспровод-ную связь Bluetooth, и затем блокирует "заболевший" аппарат. Компания SimWorks зафикси-ровала появление модификации трояна, содержащей в своем составе коды двух других вре-доносных программ - Caribe и Camtimer. По своим характеристикам Gavno.b практически похож на оригинальную версию, а распространяется под видом патча с именем patch_v2.sis. Этот троян способен заражать только коммуникаторы на базе платформы Series 60, которые работают под управлением ОС Symbian 7.0.
Вывод
В статье использованы материалы сайтов: bestnokia.ru, a-mobile.ru,
www.viruslist.com/ru. Эпидемия вирусов на мобильных телефонах захватывает постепенно мировое про-странство - так Москва может в один прекрасный день быть атакована эпидемией Bluetooth-атаки, что позволяет говорить о необходимости повышения уровня защиты ОС смартфонов - новый Symbian 9.1 решает лишь частично причины такого массового распространения по bluejack-атаке. В связи с коммерциализацией понятия компьютерного взлома, вполне воз-можны модификации вирусов, блокирующих какую-либо важную информацию (например, записную книжку или электронный бумажник) и требующих денег за снятие запрета, что, в принципе, уже реализовано на настольных компьютерах. Так или иначе, лучшим советом будет: не ходить в местах массового скопления людей с включенным Bluetooth, не прини-мать запросы на прием данных от незнакомых устройств, не скачивать и не устанавливать "подозрительные" приложения и пользоваться антивирусом - например, Kaspersky Antivirus, Norton Antivirus и F-Secure имеют свою версию для смартфонов под управлением Symbian OS.
Текущий рейтинг
5Оценило
4 человек
(7) 