Троянская программа, поражающая мобильные телефоны, работающие под управлением операционной системы Symbian. Троянец заменяет неработающими файлами некоторые системные приложения.

Представляет собой приложение для операционной системы Symbian 60 Series — инсталляционный SIS-архив.

Файл может иметь имя freetalktime.sis. Размер — 31210 байт.
Инсталляция

При запуске троянец инсталлирует в телефон следующие файлы (всего 53):
\raghu.txt (275 байт)
\Images\raghu.txt (275 байт)
\Images\raghu crack.jpg (12554 байт)
\system\appsA-RAGHU.txt (201 байт)
\system\apps\RAGHU\raghu.app (6864 байт)
\system\apps\RAGHUMenu\raghumenu.app (5332 байт)
\system\apps\RAGHUMenu\raghumenu.rsc (60 байт)
\system\apps\RAGHUMenu\RAGHUMenu_caption.rsc (28 байт)

(Содержимое следующих каталогов перезаписывается, если каталог не существовал, то он создается):
system\apps\AD7650
system\apps\AnswRec
system\apps\BlackList
system\apps\BlueJackX
system\apps\callcheater
system\apps\Cal lManager
system\apps\Camcoder
system\apps\camerafx
system\apps\ETICamcorder
system\apps\ETIMovieAlbum
system\apps\ETIPlayer
system\app s\extendedrecorder
system\apps\FaceWarp
system\apps\FExplorer
system\apps\FSCaller
system\apps\Hair
system\apps\HantroCP
system\apps\i rremote
system\apps\Jelly
system\apps\KPCaMain
system\apps\Launcher
system\apps\logoMan
system\apps\MIDIED
system\apps\mmp
system\app s\Mp3Go
system\apps\Mp3Player
system\apps\photoacute
system\apps\PhotoEditor
system\apps\Photographer
system\apps\PhotoSafe
system\app s\PhotoSMS
system\apps\PVPlayer
system\apps\RallyProContest
system\apps\realplayer
system\apps\RingMaster
system\apps\SmartAnswer
syst em\apps\SmartMovie
system\apps\SmsMachine
system\apps\Sounder
system\apps\sSaver
system\apps\SystemExplorer
system\apps\UltraMP3
syste m\apps\UVSMStyle
system\apps\WILDSKIN

В каждом каталоге создается файл с именем каталога и расширением app. Данные файлы имеют размер 6 байт и неработоспособны. Таким образом, все приложения, которые были перезаписаны троянцем, перестают работать, что приводит к нарушению функционирования телефона.

Файл raghu.txt содержит следующий текст:

----R A G H U----

VIRUS BORN IN SURAT(GUJRAT/INDIA/ASIA).

THE NAME OF THIS VIRUS IS RAGHU....
U KNOW WHY....????????

BECAUSE I LIKE VASTAV MOVIE AND SANJU BABA.

U LIKE THIS VIRUS?

SO MANY SOFTWARE CRACKS AND VIRUS AVAILABLE SOON....

RAGHU NAM HE RAGHU...

Файл 0A-raghu.txt содержит следующий текст:

MY NAME IS -----R A G H U-----

FROM SURAT/GUJARAT/INDIA/ASIA/WORLD/HEVEN/

U LIKE THIS VIRUS?

HA.......HAHA............HAHAHA

WARNING-NEVER INSTALL RAGHU.SIS ITS HARMFULL FOR YOUR MOBILE

Первый сетевой червь, распространяющийся через протокол Bluetooth и заражающий мобильные телефоны, работающие под управлением OS Symbian.

Червь представляет собой файл формата SIS, caribe.sis. Размер файла - 15092 байт (или 15104 байт).

Данный файл содержит в себе несколько объектов:
caribe.app: размер 11932 байт (или 11944 байт)
flo.mdl: размер 2544 байт
caribe.rsc: размер 44 байта

Инсталляция
При запуске червь выводит на экран сообщение "Caribe" (или "Caribe - VZ/29a"):
(IMG:http://www.bluejack.ru/images/00082.jpg)
И затем инсталлирует себя в различные каталоги:

с:\system\apps\caribe\caribe.app
с:\system\apps\caribe\flo.mdl
с:\system\apps\caribe\caribe.rsc

C:\SYSTEM\SYMBIANSECUREDAT A\CARIBESECURITYMANAGER\CARIBE.SIS
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.APP
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITY MANAGER\CARIBE.RSC
C:\SYSTEM\RECOGS\FLO.MDLКаталог "SYMBIANSECUREDATA", создаваемый червем, является скрытым и не виден пользователю зараженного телефона.

В случае удаления файлов червя из каталога "APPS", червь будет продолжать свою работу в системе.

Размножение
При каждом включении зараженного телефона червь получает управление и начинает сканировать список активных Bluetooth-соединений. Затем червь выбирает первое доступное соединение из списка и пытается передать туда свой основной файл "caribe.sis".
В случае, если пользователь подтвердит прием файла, то его телефон примет зараженный файл и предложит запустить его на исполнение (зависит от модели телефона).

Удаление червя
Нужно лишь удалить его файлы из папок:
c:/system/symbiansecuredata/caribesecuritymanager/
c:/system/recogs/ и
e:/system/apps/caribe/ (буква диска здесь зависит от того, какое место вы выбрали для установки: карта памяти или основная память; в данном случае - карта памяти)

Существует антивирус, который может помочь
SimWorks AntiVirus

Схема распространения червя сводится к следующему:
Вирус проникает на смартфон либо в составе мультимедийного короткого сообщения MMS, либо посредством беспроводной связи Bluetooth. Попав на портативное устройство, Cardtrp заменяет файлы некоторых приложений, нарушая тем самым работу коммуникатора.

Затем вирус пытается получить доступ к флэш-карте памяти (если таковая установлена) и записать на нее ряд вредоносных файлов, в том числе компоненты червей Wukill, Berbew, иконку и файл автозапуска.
Если пользователь впоследствии вставит флэш-носитель в компьютерный карт-ридер и по неосторожности щелкнет по одному из исполняемых файлов, на машине будет открыт "черный ход". Кроме того, в ряде случаев вирус способен "перепрыгивать" с карты памяти на ПК самостоятельно через файл autorun.inf. Впрочем, вероятность этого невелика.

Червь Cardtrp представляет угрозу для владельце таких коммуникаторов, как Nokia 3600, Nokia 3620, Nokia 6600, Nokia 6620, Nokia 7610, Nokia 7650, Nokia N-Gage, Panasonic X700, Sendo X, Siemens SX1 и некоторых других. Вероятнее всего, "гибридный" червь представляет собой концептуальную вредоносную программу, разрабатывавшуюся с целью демонстрации возможности одновременного заражения смартфонов и компьютеров. Тем не менее, отмечают эксперты, нельзя исключать вероятности того, что вслед за Cardtrp последуют намного более опасные черви с аналогичными возможностями.

Первый червь для сотовых телефонов, размножающийся при помощи MMS.

Работает на телефонах под управлением ОС Symbian Series 60.

Исполняемый файл червя упакован в установочный архив Symbian (SIS). Размер архива — 27-30КБ. Название файла может варьироваться; в частности, передавая себя по Bluetooth, червь генерирует произвольное имя файла длиной 8 символов, например bg82o_s1.sis.

Инсталляция
После запуска архив распаковывается в \system\apps\CommWarrior\:

\system\apps\CommWarrior\commwarrior.exe
\system\apps\CommWarrior\commrec.mdl
Запущенный файл commwarrior.exe в свою очередь копирует эти файлы и оригинальный архив в директорию \system\updates\:

\system\updates\commwarrior.exe
\system\updates\commrec.mdl
\system\updates\commw.sis
Размножение
Червь распространяется двумя способами: по Bluetooth и по MMS.

После запуска червь инициирует поиск доступных через Bluetooth устройств и передает на них зараженный SIS-архив с произвольным именем. Для его открытия (и заражения телефона) необходимо несколько раз подтвердить прием файла.

Помимо этого, червь рассылает себя по контактам адресной книги при помощи MMS-сообщений. Тема и текст сообщений варьируются:

Norton AntiVirus
Released now for mobile, install it!
3DGame
3DGame from me. It is FREE !
3DNow!
3DNow!™ mobile emulator for *GAMES*.
Audio driver
Live3D driver with polyphonic virtual speakers!
CheckDisk
*FREE* CheckDisk for SymbianOS released!MobiComm
Desktop manager
Official Symbian desctop manager.
Display driver
Real True Color mobile display driver!
Dr.Web
New Dr.Web antivirus for Symbian OS. Try it!
Free SEX!
Free *SEX* software for you!
Happy Birthday!
Happy Birthday! It is present for you!
Internet Accelerator
Internet accelerator, SSL security update #7.
Internet Cracker
It is *EASY* to *CRACK* provider accounts!
MS-DOS
MS-DOS emulator for SymbvianOS. Nokia series 60 only. Try it!
MatrixRemover
Matrix has you. Remove matrix!
Nokia ringtoner
Nokia RingtoneManager for all models.
PocketPCemu
PocketPC *REAL* emulator for Symbvian OS! Nokia only.
Porno images
Porno images collection with nice viewer!
PowerSave Inspector
Save you battery and *MONEY*!
Security update #12
Significant security update. See www.symbian.com
Symbian security update
See security news at www.symbian.com
SymbianOS update
OS service pack #1 from Symbian inc.
Virtual SEX
Virtual SEX mobile engine from Russian hackers!
WWW Cracker
Helps to *CRACK* WWW sites like hotmail.com
Червь содержит в себе текст:

CommWarrior v1.0b © 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute
it in it's original unmodified form.
OTMOP03KAM HET!

Так как после факта заражения этим вирусом вы не сможете установить никакой антивирус, удалить в принципе можно 2-мя способами:
1) Перепрошивкой аппарата в СЦ
2) Вынимаем карту памяти. Заходим в директорию С:\system\bootdata\lib и удаляем оттуда cwoutcast.exe. После его удаления сразу же вытаскиваем из аппарата аккумулятор.
После этого включаем телефон, снова идём по директории С:\system\bootdata\lib, снова видим там cwoutcast.exe (он уже должен будет весить 0 байт), и опять удаляем его.
Далее если в папке С:\system\programs есть файл cwoutcast.exe, то удаляем его.
Далее в папке С:\system\recogs удаляем cworec.mdl
После его удаления сразу же выключаем аппарат (желательно, вытаскиваем батарею).
После выполнения всего вышеперечисленного, также рекомендовано выполнить резет телефона.

Обязательным дополнительным пунктом к обоим способам является форматирование карты памяти в любом устройстве, кроме самого телефона.

Превзошел своих собратьев по вредоносности. Попасть программа на компьютер может только с согласия пользователя, загрузившего файл, Kill Saddam By OID500.sis, маскирующийся под очередную игру.

После ее запуска незадачливого владельца смартфона начинают преследовать неприятности, вирус отключает работу диспетчера программ и не дает возможности удалить его, или запустить программное обеспечение. Также он устанавливает в систему поврежденный файл шрифта и после перезагрузки устройство приходит в полностью нерабочее состояние. На сегодняшним день известен только один способ борьбы с Fontal - жесткая перезагрузка системы с утерей всех данных.

Сразу несколько антивирусных компаний зафиксировали появление необычной вредоносной программы, способной инфицировать и коммуникаторы под управлением операционной системы Symbian OS, и обычные Windows-компьютеры.

Изначально это был языковой пакет (заменяющий язык телефона на иврит) для смарта 7650 (первый нокиевский смарт). Потом пакет слегка модифицировали и он превратился в опаснейший вирус, способный довести телефон до такого состояния, что спасет его только перепрошивка. После установки вируса, как и в случае с Symbian Skulls, страдают стандартные программы. Зайти во многие из них становится невозможно. Главное - не перезагружаться, иначе вирус заработает на 100%.После этого, взамен иконок от 7650 и название тех прог в квадратиках, появляются битые иконки (на v6.1 это не происходит) и названия в квадратиках, заменяются названиями на иврите. Код *#7370# набирать бесполезно - вирус блокирует этот код. *#7780# тоже блокируется. Убивается вирус так: 1.) заходите в файловый менеджер, в папку {drive}/apps и удаляйте все папки, название которых начинается с нижнего прочерка _ (_аppini и т.п.). 2.) Заходите в диспетчер приложений и удаляете 2 программы с названием Ozicom 7650. Все. Если же вы перезагрузили смарт, вирус станет работать в полную силу. Но способ убиения такой же. Один нюанс: прога ProfiExplorer блокируется вирусом и работать не будет. Используйте Fileman или YaExplorer (или любой другой аналог).

Распространяется в виде архива для операционной системы Symbian — SIS-архива. Размер файла архива — 36470 байт. Файл маскируется под антивирус Symantec (имя файла — symantec.sis).

Программа работает только в Symbian OS версии 6.1.
После запуска создает следующие файлы:

\apps\FExplorer\FExplorer.aif
\apps\FExplorer\FExplorer.app
\apps\FExplorer\FExplorer.mbm
\apps\FExplorer\FExplorer.rsc
\apps\ FExplorer\FExplorer_CAPTION.rsC
\apps\FExplorer\flo.mdl
\system\recogs\jjlas.mdl
\system\recogs\RecAppForge.mdl
\system\recogs\UltraMP3R ec.mdl
\system\recogs\recAutoExec.mdl

Действия
При запуске архива SIS в систему устанавливается FExplorer.app — поврежденное приложение FExplorer. После первой перезагрузки зараженного смартфона операционная система пытается запустить это приложение, что вызывает нарушение работы устройства. Заблокированными оказываются функции смартфона (запуск приложений и др.). На возможность приема и осуществления звонков вредоносная программа не влияет.

Помимо функции BlueTooth-червя, вирус также содержит функцию заражения файлов. При запуске он сканирует диск в поисках SIS-архивов, а найденные файлы пытается заражать посредством внедрения своего кода внутрь архива.

Вирус представлен в двух вариантах: приложение для платформы Win32, заражающее найденные SIS-файлы, и приложение для платформы Symbian.

velasco.sis, размер 15750 - основной файл вируса
sisinfect.exe, размер 69632 - инфектор, работающий в Windows. Сканирует локальные диски в поисках SIS-архивов, найденные пытается заражать, внедряя в них содержимое velasco.sis. marcos.sis, размер 1579 - содержит модуль marco.mdl, устанавливающий velasco.sis в автозагрузку системы Symbian.
Вирусные файлы располагаются в следующей директории мобильного устройства:
C:\\SYSTEM\\SYMBIANSECUREDATA\\VELASCO\\

Файл автозагрузки находится здесь:
C:\\SYSTEM\\RECOGS\\MARCOS.MDL

gavno.app
gavno.rsc
gavno_caption.rsc
Все файлы (включая файл приложения gavno.app) содержат только текст на русском языке и не содержат соответствующей своему формату служебной информации.

Программа имеет русские корни и обладает вполне реальными вредоносными качествами. Он весит всего 2 кбайта и является самым маленьким и разрушительным трояном для смартфонов. Файл с расширением .SIS маскируется под новую прошивку для операционной системы. При заражении отключаются все процессы, отвечающие за функциональность устройства в качестве телефона. После инициализации рассылается на все устройства в зоне действия Bluetooth.

Вирус маскируется под игру Вредоносный код, скрывающийся под личиной мобильной версии игры Metal Gear Gold, весьма опасен, поскольку перед началом процедуры инфицирования телефона и своего распространения отключает антивирусное ПО. При инсталлировании на смартфоне файла METAL Gear.sis вирус отключает антивирусное ПО, установленное на телефоне, все проводники файлов и ряд других приложений. Затем на телефон инсталлируется Cabir.G - один из вариантов троянца Skulls. После инсталляции троянец начинает через порт Bluetooth искать другие телефоны, которые можно также инфицировать. Обнаружив подходящий, он направляет на него файл SEXXXY.sis. Если владелец телефона не заблокирует пересылку файла, вирус «отключает» работу кнопки "выбор" (select) на телефоне. Компании, специализирующиеся на разработке антивирусов и обеспечении безопасности, немедленно приступили к поиску средств борьбы с новой напастью.

Это кросс-платформенный вирус, способный перемещаться между компьютером и вашим мобильным устройством, если быть более точными, то Mobler перемещается между Symbian и Windows платформами. Нужно отметить, что для Symbian устройств данный вирус не очень опасен, он просто копируется на карту памяти и ждет своего часа, чтобы добраться до компьютера. Mobler просто создает инсталляционный Symbian файл. Выглядит Mobler как обычная системная папка, а когда пользователь открывает эту папку, то происходит заражение КП, на котором вы эту папку открыли.

Чуть позже выяснилось, что в Mosquito нет никакого трояна. "Троян" на деле оказался всего лишь ненадёжной защитой от копирования. Поэтому был развеян слух, что эта особенность специфична для взломанных версии продукта - эта скрытая функция была встроена в старые версии программ (в новых версиях она упразднена), а также осталась во взломанных.

Программа представляет собой инсталляционный файл SIS размером около 140 КБ. В оригинальном виде имя файла - <Mosquitos Cracked by Soddom.sis> или <Mosquitos Cracked by Soddom V2.0.sis>, но в интернете также встречаются дистрибутивы с другими именами.

Программа широко распространена на общедоступных download-сайты

В установленном виде имеет имя <Mosquitos.app> и размер 261,6 КБ.

инструкцией по его удалению:
Существует антивирус, который может помочь
SimWorks AntiVirus

Первая известная троянская программа для мобильных телефонов, обладающая функцией кражи пользовательских данных.
Представляет собой приложение для операционной системы Symbian 60 Series — инсталляционный SIS-архив.
Файл может иметь имя pbexplorer.sis. Размер — 10752 байт.
Инсталляция
При запуске троянец инсталлирует файл pbexplorer.app в следующий каталог:
с:\system\apps\pbexplorer\

Файл pbexplorer.app является исполняемым файлом формата EPOC и имеет размер 10212 байт. Это основной файл троянца.
Файл содержит в себе текстовую строку:
Good artist copy, great artist steal ...

Сразу после инсталляции данный файл запускается на исполнение. Это сопровождается информационным окном со следующим текстом:

Phone Book
Compacting
by: lajel 202u

please wait...

После запуска троянец выводит на экран различные информационные окна с сообщениями о том, что производится работа по оптимизации адресной книги телефона. На самом деле происходит поиск всех контактов в телефоне и их копирование в файл c:\system\mail\phonebook.txt.

Затем троянец пытается обнаружить любое доступное Bluetooth-устройство и передать на него данный файл.

Таким образом, данные из адресной книги зараженного телефона могут быть получены третьими лицами.