Вирусы в смартфонах
|
|
Symbian9 | Дата: Пятница, 04.04.2008, 23:45 | Сообщение # 1 |
Admin
Группа: Администраторы
Сообщений: 44
Статус: Offline
| OS Symbian, как и любая операционная система, может быть подвержена атаке вирусов. Вирус - вредоносная программа, призванная всячески испортить жизнь пользователю смартфона. В данной теме мы постараемся рассказать о самых распространенных вирусах для платформы S60, способах их удаления, а также посоветуем, как избежать заражения наших смартфонов! Содержание темы: Вирусы: Appdisabler Cabir Cardtrp Comwarrior Fontal Hebrew (Ozicom) Hobble Lasco Locknut Metal Gear Mobler Mosquit Pbstealer Red Browser Skulls Duts Mabir Dampig Doomboot Drever Onehop Blankfont Антивирусы для Symbian 9*: Anti-virus FOR Jiangmin Anti-Virus beta-free KAV Mobile v.6.0.77 * в настоящее время полноценных вирусных программ для Symbian 9 не существует, так что качать или нет - решать вам! Советы новичкам: В настоящее время вирусы распространяются через Bluetooth или MMS, в большей степени на Symbian 6/7/8! Не стоит бояться вирусов, угроза заражения минимальна, если соблюдать следующие требования: - Не принимайте файлы по Bluetooth от незнакомых людей! Если принимаете файл от знакомого человека, убедитесь, что это он шлет вам файл, а не зараженный смартфон! Это самый распространенный способ заражения... - Если к вам пришло сообщение, содержащее файл, НЕ УСТАНАВЛИВАЙТЕ ЕГО! Даже если будет написано "Doom", "Бесплатные сообщения", "Прикольное видео" - НЕ УСТАНАВЛИВАЙТЕ!!! - Если с вашего счета исчезают деньги; не работает отправка/прием файлов по Bluetooth; невозможно отправить MMS или изменить настройки - установите антивирус, обновите базы и полностью проверьте систему!
|
|
| |
Symbian9 | Дата: Пятница, 04.04.2008, 23:47 | Сообщение # 2 |
Admin
Группа: Администраторы
Сообщений: 44
Статус: Offline
| Appdisabler Троянская программа, поражающая мобильные телефоны, работающие под управлением операционной системы Symbian. Троянец заменяет неработающими файлами некоторые системные приложения. Представляет собой приложение для операционной системы Symbian 60 Series — инсталляционный SIS-архив. Файл может иметь имя freetalktime.sis. Размер — 31210 байт. Инсталляция При запуске троянец инсталлирует в телефон следующие файлы (всего 53): \raghu.txt (275 байт) \Images\raghu.txt (275 байт) \Images\raghu crack.jpg (12554 байт) \system\appsA-RAGHU.txt (201 байт) \system\apps\RAGHU\raghu.app (6864 байт) \system\apps\RAGHUMenu\raghumenu.app (5332 байт) \system\apps\RAGHUMenu\raghumenu.rsc (60 байт) \system\apps\RAGHUMenu\RAGHUMenu_caption.rsc (28 байт) (Содержимое следующих каталогов перезаписывается, если каталог не существовал, то он создается): system\apps\AD7650 system\apps\AnswRec system\apps\BlackList system\apps\BlueJackX system\apps\callcheater system\apps\Cal lManager system\apps\Camcoder system\apps\camerafx system\apps\ETICamcorder system\apps\ETIMovieAlbum system\apps\ETIPlayer system\app s\extendedrecorder system\apps\FaceWarp system\apps\FExplorer system\apps\FSCaller system\apps\Hair system\apps\HantroCP system\apps\i rremote system\apps\Jelly system\apps\KPCaMain system\apps\Launcher system\apps\logoMan system\apps\MIDIED system\apps\mmp system\app s\Mp3Go system\apps\Mp3Player system\apps\photoacute system\apps\PhotoEditor system\apps\Photographer system\apps\PhotoSafe system\app s\PhotoSMS system\apps\PVPlayer system\apps\RallyProContest system\apps\realplayer system\apps\RingMaster system\apps\SmartAnswer syst em\apps\SmartMovie system\apps\SmsMachine system\apps\Sounder system\apps\sSaver system\apps\SystemExplorer system\apps\UltraMP3 syste m\apps\UVSMStyle system\apps\WILDSKIN В каждом каталоге создается файл с именем каталога и расширением app. Данные файлы имеют размер 6 байт и неработоспособны. Таким образом, все приложения, которые были перезаписаны троянцем, перестают работать, что приводит к нарушению функционирования телефона. Файл raghu.txt содержит следующий текст: ----R A G H U---- VIRUS BORN IN SURAT(GUJRAT/INDIA/ASIA). THE NAME OF THIS VIRUS IS RAGHU.... U KNOW WHY....???????? BECAUSE I LIKE VASTAV MOVIE AND SANJU BABA. U LIKE THIS VIRUS? SO MANY SOFTWARE CRACKS AND VIRUS AVAILABLE SOON.... RAGHU NAM HE RAGHU... Файл 0A-raghu.txt содержит следующий текст: MY NAME IS -----R A G H U----- FROM SURAT/GUJARAT/INDIA/ASIA/WORLD/HEVEN/ U LIKE THIS VIRUS? HA.......HAHA............HAHAHA WARNING-NEVER INSTALL RAGHU.SIS ITS HARMFULL FOR YOUR MOBILE
|
|
| |
Symbian9 | Дата: Пятница, 04.04.2008, 23:56 | Сообщение # 3 |
Admin
Группа: Администраторы
Сообщений: 44
Статус: Offline
| Cabir Первый сетевой червь, распространяющийся через протокол Bluetooth и заражающий мобильные телефоны, работающие под управлением OS Symbian. Червь представляет собой файл формата SIS, caribe.sis. Размер файла - 15092 байт (или 15104 байт). Данный файл содержит в себе несколько объектов: caribe.app: размер 11932 байт (или 11944 байт) flo.mdl: размер 2544 байт caribe.rsc: размер 44 байта Инсталляция При запуске червь выводит на экран сообщение "Caribe" (или "Caribe - VZ/29a"): (IMG:http://www.bluejack.ru/images/00082.jpg) И затем инсталлирует себя в различные каталоги: с:\system\apps\caribe\caribe.app с:\system\apps\caribe\flo.mdl с:\system\apps\caribe\caribe.rsc C:\SYSTEM\SYMBIANSECUREDAT A\CARIBESECURITYMANAGER\CARIBE.SIS C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.APP C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITY MANAGER\CARIBE.RSC C:\SYSTEM\RECOGS\FLO.MDLКаталог "SYMBIANSECUREDATA", создаваемый червем, является скрытым и не виден пользователю зараженного телефона. В случае удаления файлов червя из каталога "APPS", червь будет продолжать свою работу в системе. Размножение При каждом включении зараженного телефона червь получает управление и начинает сканировать список активных Bluetooth-соединений. Затем червь выбирает первое доступное соединение из списка и пытается передать туда свой основной файл "caribe.sis". В случае, если пользователь подтвердит прием файла, то его телефон примет зараженный файл и предложит запустить его на исполнение (зависит от модели телефона). Удаление червя Нужно лишь удалить его файлы из папок: c:/system/symbiansecuredata/caribesecuritymanager/ c:/system/recogs/ и e:/system/apps/caribe/ (буква диска здесь зависит от того, какое место вы выбрали для установки: карта памяти или основная память; в данном случае - карта памяти) Существует антивирус, который может помочь SimWorks AntiVirus
|
|
| |
Symbian9 | Дата: Пятница, 04.04.2008, 23:57 | Сообщение # 4 |
Admin
Группа: Администраторы
Сообщений: 44
Статус: Offline
| Cardtrp Схема распространения червя сводится к следующему: Вирус проникает на смартфон либо в составе мультимедийного короткого сообщения MMS, либо посредством беспроводной связи Bluetooth. Попав на портативное устройство, Cardtrp заменяет файлы некоторых приложений, нарушая тем самым работу коммуникатора. Затем вирус пытается получить доступ к флэш-карте памяти (если таковая установлена) и записать на нее ряд вредоносных файлов, в том числе компоненты червей Wukill, Berbew, иконку и файл автозапуска. Если пользователь впоследствии вставит флэш-носитель в компьютерный карт-ридер и по неосторожности щелкнет по одному из исполняемых файлов, на машине будет открыт "черный ход". Кроме того, в ряде случаев вирус способен "перепрыгивать" с карты памяти на ПК самостоятельно через файл autorun.inf. Впрочем, вероятность этого невелика. Червь Cardtrp представляет угрозу для владельце таких коммуникаторов, как Nokia 3600, Nokia 3620, Nokia 6600, Nokia 6620, Nokia 7610, Nokia 7650, Nokia N-Gage, Panasonic X700, Sendo X, Siemens SX1 и некоторых других. Вероятнее всего, "гибридный" червь представляет собой концептуальную вредоносную программу, разрабатывавшуюся с целью демонстрации возможности одновременного заражения смартфонов и компьютеров. Тем не менее, отмечают эксперты, нельзя исключать вероятности того, что вслед за Cardtrp последуют намного более опасные черви с аналогичными возможностями.
|
|
| |
Symbian9 | Дата: Пятница, 04.04.2008, 23:58 | Сообщение # 5 |
Admin
Группа: Администраторы
Сообщений: 44
Статус: Offline
| Comwarrior Первый червь для сотовых телефонов, размножающийся при помощи MMS. Работает на телефонах под управлением ОС Symbian Series 60. Исполняемый файл червя упакован в установочный архив Symbian (SIS). Размер архива — 27-30КБ. Название файла может варьироваться; в частности, передавая себя по Bluetooth, червь генерирует произвольное имя файла длиной 8 символов, например bg82o_s1.sis. Инсталляция После запуска архив распаковывается в \system\apps\CommWarrior\: \system\apps\CommWarrior\commwarrior.exe \system\apps\CommWarrior\commrec.mdl Запущенный файл commwarrior.exe в свою очередь копирует эти файлы и оригинальный архив в директорию \system\updates\: \system\updates\commwarrior.exe \system\updates\commrec.mdl \system\updates\commw.sis Размножение Червь распространяется двумя способами: по Bluetooth и по MMS. После запуска червь инициирует поиск доступных через Bluetooth устройств и передает на них зараженный SIS-архив с произвольным именем. Для его открытия (и заражения телефона) необходимо несколько раз подтвердить прием файла. Помимо этого, червь рассылает себя по контактам адресной книги при помощи MMS-сообщений. Тема и текст сообщений варьируются: Norton AntiVirus Released now for mobile, install it! 3DGame 3DGame from me. It is FREE ! 3DNow! 3DNow!™ mobile emulator for *GAMES*. Audio driver Live3D driver with polyphonic virtual speakers! CheckDisk *FREE* CheckDisk for SymbianOS released!MobiComm Desktop manager Official Symbian desctop manager. Display driver Real True Color mobile display driver! Dr.Web New Dr.Web antivirus for Symbian OS. Try it! Free SEX! Free *SEX* software for you! Happy Birthday! Happy Birthday! It is present for you! Internet Accelerator Internet accelerator, SSL security update #7. Internet Cracker It is *EASY* to *CRACK* provider accounts! MS-DOS MS-DOS emulator for SymbvianOS. Nokia series 60 only. Try it! MatrixRemover Matrix has you. Remove matrix! Nokia ringtoner Nokia RingtoneManager for all models. PocketPCemu PocketPC *REAL* emulator for Symbvian OS! Nokia only. Porno images Porno images collection with nice viewer! PowerSave Inspector Save you battery and *MONEY*! Security update #12 Significant security update. See www.symbian.com Symbian security update See security news at www.symbian.com SymbianOS update OS service pack #1 from Symbian inc. Virtual SEX Virtual SEX mobile engine from Russian hackers! WWW Cracker Helps to *CRACK* WWW sites like hotmail.com Червь содержит в себе текст: CommWarrior v1.0b © 2005 by e10d0r CommWarrior is freeware product. You may freely distribute it in it's original unmodified form. OTMOP03KAM HET!
|
|
| |
Symbian9 | Дата: Пятница, 04.04.2008, 23:59 | Сообщение # 6 |
Admin
Группа: Администраторы
Сообщений: 44
Статус: Offline
| CommWarrior Outcast Так как после факта заражения этим вирусом вы не сможете установить никакой антивирус, удалить в принципе можно 2-мя способами: 1) Перепрошивкой аппарата в СЦ 2) Вынимаем карту памяти. Заходим в директорию С:\system\bootdata\lib и удаляем оттуда cwoutcast.exe. После его удаления сразу же вытаскиваем из аппарата аккумулятор. После этого включаем телефон, снова идём по директории С:\system\bootdata\lib, снова видим там cwoutcast.exe (он уже должен будет весить 0 байт), и опять удаляем его. Далее если в папке С:\system\programs есть файл cwoutcast.exe, то удаляем его. Далее в папке С:\system\recogs удаляем cworec.mdl После его удаления сразу же выключаем аппарат (желательно, вытаскиваем батарею). После выполнения всего вышеперечисленного, также рекомендовано выполнить резет телефона. Обязательным дополнительным пунктом к обоим способам является форматирование карты памяти в любом устройстве, кроме самого телефона.
|
|
| |
Symbian9 | Дата: Суббота, 05.04.2008, 00:00 | Сообщение # 7 |
Admin
Группа: Администраторы
Сообщений: 44
Статус: Offline
| Fontal Превзошел своих собратьев по вредоносности. Попасть программа на компьютер может только с согласия пользователя, загрузившего файл, Kill Saddam By OID500.sis, маскирующийся под очередную игру. После ее запуска незадачливого владельца смартфона начинают преследовать неприятности, вирус отключает работу диспетчера программ и не дает возможности удалить его, или запустить программное обеспечение. Также он устанавливает в систему поврежденный файл шрифта и после перезагрузки устройство приходит в полностью нерабочее состояние. На сегодняшним день известен только один способ борьбы с Fontal - жесткая перезагрузка системы с утерей всех данных. Сразу несколько антивирусных компаний зафиксировали появление необычной вредоносной программы, способной инфицировать и коммуникаторы под управлением операционной системы Symbian OS, и обычные Windows-компьютеры.
|
|
| |
Symbian9 | Дата: Суббота, 05.04.2008, 00:00 | Сообщение # 8 |
Admin
Группа: Администраторы
Сообщений: 44
Статус: Offline
| Ozicom 7650 Hebrew v1.03 Изначально это был языковой пакет (заменяющий язык телефона на иврит) для смарта 7650 (первый нокиевский смарт). Потом пакет слегка модифицировали и он превратился в опаснейший вирус, способный довести телефон до такого состояния, что спасет его только перепрошивка. После установки вируса, как и в случае с Symbian Skulls, страдают стандартные программы. Зайти во многие из них становится невозможно. Главное - не перезагружаться, иначе вирус заработает на 100%.После этого, взамен иконок от 7650 и название тех прог в квадратиках, появляются битые иконки (на v6.1 это не происходит) и названия в квадратиках, заменяются названиями на иврите. Код *#7370# набирать бесполезно - вирус блокирует этот код. *#7780# тоже блокируется. Убивается вирус так: 1.) заходите в файловый менеджер, в папку {drive}/apps и удаляйте все папки, название которых начинается с нижнего прочерка _ (_аppini и т.п.). 2.) Заходите в диспетчер приложений и удаляете 2 программы с названием Ozicom 7650. Все. Если же вы перезагрузили смарт, вирус станет работать в полную силу. Но способ убиения такой же. Один нюанс: прога ProfiExplorer блокируется вирусом и работать не будет. Используйте Fileman или YaExplorer (или любой другой аналог).
|
|
| |
Symbian9 | Дата: Суббота, 05.04.2008, 00:01 | Сообщение # 9 |
Admin
Группа: Администраторы
Сообщений: 44
Статус: Offline
| Hobble Распространяется в виде архива для операционной системы Symbian — SIS-архива. Размер файла архива — 36470 байт. Файл маскируется под антивирус Symantec (имя файла — symantec.sis). Программа работает только в Symbian OS версии 6.1. После запуска создает следующие файлы: \apps\FExplorer\FExplorer.aif \apps\FExplorer\FExplorer.app \apps\FExplorer\FExplorer.mbm \apps\FExplorer\FExplorer.rsc \apps\ FExplorer\FExplorer_CAPTION.rsC \apps\FExplorer\flo.mdl \system\recogs\jjlas.mdl \system\recogs\RecAppForge.mdl \system\recogs\UltraMP3R ec.mdl \system\recogs\recAutoExec.mdl Действия При запуске архива SIS в систему устанавливается FExplorer.app — поврежденное приложение FExplorer. После первой перезагрузки зараженного смартфона операционная система пытается запустить это приложение, что вызывает нарушение работы устройства. Заблокированными оказываются функции смартфона (запуск приложений и др.). На возможность приема и осуществления звонков вредоносная программа не влияет.
|
|
| |
Symbian9 | Дата: Суббота, 05.04.2008, 00:01 | Сообщение # 10 |
Admin
Группа: Администраторы
Сообщений: 44
Статус: Offline
| Lasco Помимо функции BlueTooth-червя, вирус также содержит функцию заражения файлов. При запуске он сканирует диск в поисках SIS-архивов, а найденные файлы пытается заражать посредством внедрения своего кода внутрь архива. Вирус представлен в двух вариантах: приложение для платформы Win32, заражающее найденные SIS-файлы, и приложение для платформы Symbian. velasco.sis, размер 15750 - основной файл вируса sisinfect.exe, размер 69632 - инфектор, работающий в Windows. Сканирует локальные диски в поисках SIS-архивов, найденные пытается заражать, внедряя в них содержимое velasco.sis. marcos.sis, размер 1579 - содержит модуль marco.mdl, устанавливающий velasco.sis в автозагрузку системы Symbian. Вирусные файлы располагаются в следующей директории мобильного устройства: C:\\SYSTEM\\SYMBIANSECUREDATA\\VELASCO\\ Файл автозагрузки находится здесь: C:\\SYSTEM\\RECOGS\\MARCOS.MDL
|
|
| |
Symbian9 | Дата: Суббота, 05.04.2008, 00:02 | Сообщение # 11 |
Admin
Группа: Администраторы
Сообщений: 44
Статус: Offline
| Locknut Троянская программа, представляющая собой приложение для операционной системы Symbian — SIS-архив размером 1-2КБ. При запуске архива его содержимое распаковывается в папку "\system\apps\gavno\": gavno.app gavno.rsc gavno_caption.rsc Все файлы (включая файл приложения gavno.app) содержат только текст на русском языке и не содержат соответствующей своему формату служебной информации. Программа имеет русские корни и обладает вполне реальными вредоносными качествами. Он весит всего 2 кбайта и является самым маленьким и разрушительным трояном для смартфонов. Файл с расширением .SIS маскируется под новую прошивку для операционной системы. При заражении отключаются все процессы, отвечающие за функциональность устройства в качестве телефона. После инициализации рассылается на все устройства в зоне действия Bluetooth.
|
|
| |
Symbian9 | Дата: Суббота, 05.04.2008, 00:02 | Сообщение # 12 |
Admin
Группа: Администраторы
Сообщений: 44
Статус: Offline
| Metal Gear Вирус маскируется под игру Вредоносный код, скрывающийся под личиной мобильной версии игры Metal Gear Gold, весьма опасен, поскольку перед началом процедуры инфицирования телефона и своего распространения отключает антивирусное ПО. При инсталлировании на смартфоне файла METAL Gear.sis вирус отключает антивирусное ПО, установленное на телефоне, все проводники файлов и ряд других приложений. Затем на телефон инсталлируется Cabir.G - один из вариантов троянца Skulls. После инсталляции троянец начинает через порт Bluetooth искать другие телефоны, которые можно также инфицировать. Обнаружив подходящий, он направляет на него файл SEXXXY.sis. Если владелец телефона не заблокирует пересылку файла, вирус «отключает» работу кнопки "выбор" (select) на телефоне. Компании, специализирующиеся на разработке антивирусов и обеспечении безопасности, немедленно приступили к поиску средств борьбы с новой напастью.
|
|
| |
Symbian9 | Дата: Суббота, 05.04.2008, 00:02 | Сообщение # 13 |
Admin
Группа: Администраторы
Сообщений: 44
Статус: Offline
| Mobler Это кросс-платформенный вирус, способный перемещаться между компьютером и вашим мобильным устройством, если быть более точными, то Mobler перемещается между Symbian и Windows платформами. Нужно отметить, что для Symbian устройств данный вирус не очень опасен, он просто копируется на карту памяти и ждет своего часа, чтобы добраться до компьютера. Mobler просто создает инсталляционный Symbian файл. Выглядит Mobler как обычная системная папка, а когда пользователь открывает эту папку, то происходит заражение КП, на котором вы эту папку открыли.
|
|
| |
Symbian9 | Дата: Суббота, 05.04.2008, 00:03 | Сообщение # 14 |
Admin
Группа: Администраторы
Сообщений: 44
Статус: Offline
| Mosquit Основной причиной, по которой данная игра (IMG:http://www.bluejack.ru/images/00022.jpg) была классифицирована как троянец, является наличие кода для скрытой рассылки SMS на определенные в коде номера без ведома пользователя. Это неприятное свойство было обнаружено во взломанных версиях игры. Чуть позже выяснилось, что в Mosquito нет никакого трояна. "Троян" на деле оказался всего лишь ненадёжной защитой от копирования. Поэтому был развеян слух, что эта особенность специфична для взломанных версии продукта - эта скрытая функция была встроена в старые версии программ (в новых версиях она упразднена), а также осталась во взломанных. Программа представляет собой инсталляционный файл SIS размером около 140 КБ. В оригинальном виде имя файла - <Mosquitos Cracked by Soddom.sis> или <Mosquitos Cracked by Soddom V2.0.sis>, но в интернете также встречаются дистрибутивы с другими именами. Программа широко распространена на общедоступных download-сайты В установленном виде имеет имя <Mosquitos.app> и размер 261,6 КБ. инструкцией по его удалению: Существует антивирус, который может помочь SimWorks AntiVirus
|
|
| |
Symbian9 | Дата: Суббота, 05.04.2008, 00:06 | Сообщение # 15 |
Admin
Группа: Администраторы
Сообщений: 44
Статус: Offline
| Pbstealer Первая известная троянская программа для мобильных телефонов, обладающая функцией кражи пользовательских данных. Представляет собой приложение для операционной системы Symbian 60 Series — инсталляционный SIS-архив. Файл может иметь имя pbexplorer.sis. Размер — 10752 байт. Инсталляция При запуске троянец инсталлирует файл pbexplorer.app в следующий каталог: с:\system\apps\pbexplorer\ Файл pbexplorer.app является исполняемым файлом формата EPOC и имеет размер 10212 байт. Это основной файл троянца. Файл содержит в себе текстовую строку: Good artist copy, great artist steal ... Сразу после инсталляции данный файл запускается на исполнение. Это сопровождается информационным окном со следующим текстом: Phone Book Compacting by: lajel 202u please wait... После запуска троянец выводит на экран различные информационные окна с сообщениями о том, что производится работа по оптимизации адресной книги телефона. На самом деле происходит поиск всех контактов в телефоне и их копирование в файл c:\system\mail\phonebook.txt. Затем троянец пытается обнаружить любое доступное Bluetooth-устройство и передать на него данный файл. Таким образом, данные из адресной книги зараженного телефона могут быть получены третьими лицами.
|
|
| |