Вирусы под Symbian

Тема в разделе "Новости информационной безопасности", создана пользователем Loader, 7 дек 2009.

  1. Loader
    Оффлайн

    Loader VN Наблюдательный совет

    Сообщения:
    110
    Симпатии:
    110
    Существуют ли вирусы под ОС Symbian используемой в телефонах Nokia?
    В них ведь используется подпись ПО
     
  2. akok
    Оффлайн

    akok Команда форума Администратор

    Сообщения:
    12.455
    Симпатии:
    13.954
    Нет под рукой нокии... А если пользователь сам установит вредоносное ПО?
     
  3. Sergei
    Оффлайн

    Sergei Активный пользователь

    Сообщения:
    398
    Симпатии:
    575
    Коллекция вирусов для ОС Symbian
    Итак,начнем:

    Commwarrior


    Commwarrior имеет русские корни. Этот червь заражает Symbian Series 60 телефоны. Он может распространяться как через Bluetooth, так и посредствам MMS сообщений. В настоящее время существуют две версии вируса: Commwarrior.A и Commwarrior.B. Они практически идентичны. Единственное различие в том, что Commwarrior.A выбирает способ распространения в зависимости от системного времени. Commwarrior.B этого не делает. В первом часу 14 числа каждого месяца вирус перезагружает устройство.

    После того, как Commwarrior заразит телефон, он начинает искать другие устройства, которые он может достать через Bluetooth и шлет им зараженные SIS файлы. В целях маскировки эти файлы имеют произвольные названия.

    Помимо рассылки через Bluetooth, Commwarrior сканирует адресную книгу телефона и производит рассылку MMS сообщений со вложенными SIS файлами. MMS - это мультимедийные сообщения. Они могут содержать не только медиа контент (рисунки, видео, звуки), но и любой другой файл, включая зараженную SIS программу.

    Cabir

    Cabir (оригинальное название Caribe, также известен как EPOC.cabir and Symbian/Cabir — название компьютерного червя написанного в 2004, который заражает мобильные телефоны под управлением Symbian OS. Если телефон заражен Cabir, каждый раз при включении телефона, на экран выводится сообщение «Caribe». Затем червь пытается заразить другие телефоны используя беспроводную связь Bluetooth.

    Червь не был замечен «in-the-wild», а был разослан непосредственно в антивирусные компании, которые полагают, что червь безвреден. Несмотря на это, существование этого червя доказывает, что мобильные телефоны также подвержены заражению. Червь был написан участником международной группы вирусописателей 29A с псевдонимом vallez.

    CardTrap

    Заменяет существующие на мобильном приложения их поврежденными копиями. После загрузки работа этих приложений будет невозможна. В качестве дополнительной функии удаляются инсталляторы вирусов Skulls, CommWarrior и Cabir. Помимо деструктивных действий непосредственно с мобильником, CardTrap записывает несколько вирусов для Windows на флеш-карточку, которая при подключении к незащищенному компьютеру поражает его.


    Drever.b

    Недавно компания F-Secure заявила об обнаружении вирусов Drever.B, Drever.C и Skulls.F, которые поражают смартфоны под управлением Symbian OS. По заявлениям кампании Drever.B является упрощенной версией Drever.A При открытии файла вируса в HEX редакторе можно прочесть следующие строки: «FSECURE МАСТ ДАЙ!!!!!! Пожалуйста, не создавайте новых антивирусов против моих вирусов, и я перестану писать вирусы для ваших антивирусов. Моя цель – Simworks!»



    Mosquitos
    Данная программа не является троянской программой в истинном смысле данного определения.

    Основной причиной, по которой данная игра была классифицирована как троянец, является наличие кода для скрытой рассылки SMS на определенные в коде номера без ведома пользователя.Программа представляет собой инсталляционный файл SIS размером около 140 КБ. В оригинальном виде имя файла - <Mosquitos Cracked by Soddom.sis> или <Mosquitos Cracked by Soddom V2.0.sis>, но в интернете также встречаются дистрибутивы с другими именами.

    Программа широко распространена на общедоступных download-сайты, а также через некоторые P2P-сети.


    Skuller

    Общее название и процедуры детектирования для разнообразных файлов, входящих в состав известных модификаций троянцев семейства Skuller.

    Файлы, детектируемые как Skuller.gen, представляют собой два вида программ.

    Первый, наиболее распространенный — это различные поврежденные или испорченные приложения, либо файлы-пустышки. Именно они устанавливаются в ходе работы Skuller вместо имеющихся системных приложений, тем самым выводя телефон из строя.

    Второй вид — это несколько программ, осуществляющих перезагрузку телефона. Все они также являются неотъемлемой частью известных вариантов Skuller. Такие программы могут быть установлены троянцем в режим автозапуска, что приводит к постоянной перезагрузке телефона.


    DoomBot

    A представляет собой первого известного троянца, распространяемого совместно с вирусом CommWarrior.B, плюс к этому подчеркивается непривычный способ уничтожения данных. Doomboot.A предотвращает перезагрузку смартфона, а вирус CommWarrior.B генерирует постоянный Bluetooth-трафик, в результате чего заряд батарей снижается до нуля менее чем за час. Последующая перезагрузка телефона или принудительное выключение и включение телефона приводит к запуску команды форматирования, при этом аппаратная часть остается неповрежденной, но теряются все данные. Единственный способ спасения данных и борьбы с этой напастью - "дезинфицировать" ПО прежде чем аккумулятор полностью не разрядился.Как и все другие троянцы, Doomboot.A не может распространяться самостоятельно, поэтому создатели трояна маскируют его под пиратскую копию Symbian-игрушки (пока известны случаи маскирования под Doom 2, но полагаю, что этим явно не ограничится), доступную для скачивания на некоторых сайтах. Сложность идентификации трояна заключается в том, что установка Doomboot.A выглядит как неудачная инсталляция игрушки, при этом вирус Commwarrior.B, разумеется, не имеет иконки и не виден в списке выполняемых процессов.


    RedBrowser

    Троян получил название Redbrowser.a и маскируется под приложение, позволяющее посещать WAP-сайты без необходимости настройки WAP-подключения. Для этого, по утверждениям авторов вредоносной программы, якобы используются некие сервисы бесплатной отправки и приема коротких сообщений (SMS). Однако на самом деле, попав на мобильник, Redbrowser.a начинает пересылать SMS через платные мобильные сервисы. Причём за каждое такое послание со счета владельца инфицированного аппарата снимается 5-6 долларов США.

    Redbrowser.a изначально упакован в архив в формате JAR размером 54482 байта, содержащий несколько файлов. Заражение может происходить при загрузке программы из интернета, с компьютера или через беспроводную сеть Bluetooth.

    Впрочем, удалить вредоносную программу можно без особого труда при помощи стандартных утилит мобильника.

    Несмотря на то, что пока обнаружен только один образец RedBrowser, компания "Лаборатория Касперского" подчеркивает, что в интернет с большой вероятностью уже выложены другие варианты подобных вредоносных программ. Поэтому владельцам мобильных телефонов рекомендуется не загружать неизвестные приложения с сомнительных сайтов.


    Ozicom
    После установки меняются иконки, все надписи под ними на иврите.
    [
    Symbos_skulls.h
    Очередной подарок владельцам КПК от вирусописателей - троян SymbOS/Skulls, ориентированный на смартфоны Nokia. Распространяется он под видом "Менеджера Тем".
    Заразив КПК, троян заменяет иконки приложений на собственную, с изображением черепа. Сами приложения при этом перестают запускаться - ни осуществить звонок, ни скачать или отправить какую-либо информацию также становится невозможно. Восстановить работоспособность телефона при этом удастся, только в случае, если на смартфоне уже установлен файловый менеджер от стороннего разработчика.

    В противном случае лечение возможно только одним способом - переустановкой всего содержимого смартфона с полной потерей пользовательских данных.

    К счастью троян не распространяется по BlueTooth, и единственный способ заразить свой КПК им - неразборчивое скачивание программного обеспечения с сайтов сомнительной репутации и складов shareware и freeware-программ.

    Fontal
    Троянская программа для мобильных устройств под управлением операционной системы Symbian.Данный троянец распространяется под видом антивирусной программы Nokia Anti-Virus.После его подтверждения пользователем происходит распаковывание следующих файлов:
    Код (Text):


    C:\System\apps\KAS\b.dat
    C:\System\apps\KAS\Engine.exe
    C:\System\apps\KAS\KAS
    C:\System\apps\KAS\KaS.aif
    C:\System\apps\KAS\KAS.r01
    C:\System\apps\KAS\KAS_caption.r01
    C:\System\apps\KAS\limages.mbm
    C:\System\apps\KAS\lnotify.app
    C:\System\apps\KAS\lnotify.mbm
    C:\System\apps\KAS\lnotify.rsc
    C:\System\apps\KAS\s.mid
    C:\System\Fonts\Kaspersky.gdr
    C:\System\help\KasAntivirusHelp.hlp
    C:\System\libs\kasdll.dll
    C:\System\recogs\kas_antivirus.mdl
     
    HidMenu
    Портит флешку,в смарте

    Существенного деструктивного функционала у вредоносной программы обнаружено не было. Но тем не мене после установки вируса он постоянно находится и функционирует в памяти телефона и тем самым может вызвать не стабильную работу мобильного аппарата.

    Hobbes.rar
    При запуске архива SIS в систему устанавливается FExplorer.app — поврежденное приложение FExplorer. После первой перезагрузки зараженного смартфона операционная система пытается запустить это приложение, что вызывает нарушение работы устройства. Заблокированными оказываются функции смартфона (запуск приложений и др.). На возможность приема и осуществления звонков вредоносная программа не влияет.
     
    2 пользователям это понравилось.
  4. Loader
    Оффлайн

    Loader VN Наблюдательный совет

    Сообщения:
    110
    Симпатии:
    110
    В версии Symbian начиная с 9.2 включено обязательное использование подписи в программах, т.е. без подписи ПО просто не установится. Является ли это решением проблем?
     

Поделиться этой страницей