Артур Инджиев - Мобильный телефон: 20 новых советов для эффективного использования
Duts
Является первенцем среди вирусов для смартфонов (в том числе и КПК), построенных на платформах Windows Mobile. Был обнаружен «Лабораторией Касперского» в середине октября 2004 года. По оценкам экспертов, Duts — это типичный концептуальный червь, опасный лишь для узкого круга устройств. Вирус в виде файла размером 1520 байт может попасть в аппарат по любым каналам связи с внешним миром: электронной почте, Интернету, при синхронизации с ПК, через сменные карты памяти или технологию беспроводной связи Bluetooth. После проникновения в систему Duts выводит на экран следующий текст: «Dear User, am I allowed to spread?» (Дорогой пользователь, вы позволите мне размножиться?). Если вы ответите на этот запрос «да», вирус установится на ваш мобильный телефон. При таком раскладе Duts внедряется в подходящие по формату и размеру исполняемые файлы в корневой директории устройства. В процессе заражения вирус дописывает себя в конец целевого файла, используя одно из его неупотребительных полей для собственной пометки (во избежание повторного инфицирования). Каких-либо деструктивных функций данный вирус не выполняет.
Lasco
Типичный червь, поражающий сотовые телефоны, работающие под управлением Symbian Series 60. Был обнаружен антивирусной компанией F-Secure в январе 2005 года. Распространяется двумя способами: посредством уже опробованной для этих целей Bluetooth-связи и через исполняемые файлы. Второй способ в мобильных телефонах встречается впервые. В его рамках происходит инфицирование установленных на телефоне SIS-файлов, добавление в их конец строчки velasco.sis (размер порядка 12 Кб) и модификация заголовков. Установка зараженного SIS-приложения приведет к его автоматическому запуску. Однако, как и прежде, у пользователя будет запрошено подтверждение на установку вируса. Если червь получит разрешение на инсталляцию, то его исполняемые файлы сначала будут скопированы в одни папки, а после запуска паразита — в другие. Такие сложные манипуляции позволяют Lasco заражать телефон, даже если программа устанавливается на съемную карту памяти. Кроме того, благодаря этому трюку пользователь не может уничтожить вирус, выполнив деинсталляцию SIS-файла зараженной программы. Основное действие Lasco — саморазмножение. Создатель этого вируса — бразильский программист Маркос Веласко.
Mabir
По сути, это просто слегка доработанная версия червя Cabir, которая, в отличие от него, может распространяться еще и в MMS сообщениях. Новая функция реализована интересным образом: червь рассылает себя не по всем номерам из телефонной книги, а только в ответ на входящее SMS- или MMS- сообщение, причем ответное послание не содержит ничего, кроме вредоносного файла info.sis. Если телефон вашего знакомого заражен вирусом, то, отправив ему любое сообщение, в ответ вы получите подарочек в виде паразита Mabir.
Виды трояновВ этом разделе мы расскажем об известных на сегодняшний день троянских конях.
Dampig
Первое упоминание об этом троянском коне датируется январем 2005 года. Распространяется в виде файла с расширением. sis, маскируясь под приложение FSCaller (программное обеспечение компании Symbian). При попадании на телефон блокирует некоторые системные приложения и модули файлового менеджера, а также заражает устройство несколькими вариантами червя Cabir. Удалить его самостоятельно не получится, даже если вы знаете, какой именно файл инфицирован. Дело в том, что сразу после попадания жертвы в телефон Dampig изменяет информацию в системной программе установки, благодаря чему и не может быть деинсталлирован вручную.
Doomboot
Троян замаскирован под файл с расширением. sis, якобы содержащий взломанную версию игры Doom 2 для смартфонов под управлением Symbian. Появился в начале июля 2005 года.
Распространяться самостоятельно не способен и может пасть на мобильное устройство только в том случае, если пользователь загрузит через Интернет данную версию игры. После запуска вирус записывает в память смартфона поврежденные системные файлы и устанавливает другой вирус — CommWarrior. Червь CommWarrior, в свою очередь, пытается разослать собственные копии в теле сообщений MMS, а также через беспроводную связь Bluetooth, что приводит к быстрому разряду аккумуляторов. Следует отметить, что Doomboot не создает новые иконки и скрывает собственное название в списке работающих процессов, из-за чего пользователь может сразу и не заметить присутствие вредоносной программы. Однако перезагрузка инфицированного аппарата может привести к полной потере персональной информации, в том числе содержимого адресной книги и мультимедийных файлов. Для удаления! этой вредоносной программы необходимо вручную найти и удалить файл Doom_2_wad_cracked_by_DFT_S60_v1.0.sis, а затем загрузить антивирусное программное обеспечение для деинсталляции CommWarrior. Причем сделать это нужно как можно быстрее, поскольку после разрядки аккумулятора портативное устройство может больше не запуститься. В результате владелец должен будет произвести форматирование, лишившись при этом всех своих персональных данных.
Drever
Обнаружен в конце марта 2005 года, и снова угрозе подвержена платформа Symbian. При заражении начинает отсылать компании F-Secure сообщения следующего содержания: «FSecure must die!!! Please, don't make new antiviruses for my viruses and I stop make viruses for your antiviruses; My target is Simworks («FSecure должна умереть!!! Пожалуйста, не создавайте новые антивирусы против моих вирусов, и тогда я перестану писать вирусы против ваших антивирусов; Моя цель — это Simworks»). То есть фактически Drever опасен лишь потерей некоторой суммы денег, снятых со счета абонента за ненужные сообщения. Проникает на телефон под видом обновленной версии антивируса. При этом он устойчив ко многим распространенным системам защиты.
Fontal
Впервые был замечен в первых числах апреля 2005 года. Разработан вирус для смартфонов на платформе Symbian Series 60.
Этот червь, выдавая себя за лицензионную программу, устанавливает на телефон поврежденный файл Kill Saddam By QID500.sis. После этого незадачливого владельца смартфона начинают преследовать неприятности: вирус отключает работу диспетчера программ и не дает возможности удалить его. Также он устанавливает в систему поврежденный файл шрифта, в результате чего после перезагрузки устройство приходит в полностью нерабочее состояние. Самый действенный способ борьбы с Fontal — жесткое форматирование системы с потерей всех данных.
Gavno
Идентифицирован специалистами антивирусной компании SimWorks как троян для смартфонов под управлением Symbian. Программа имеет красноречивое название, что говорит о ее русском происхождении, и обладает вполне реальными вредоносными качествами. Она весит всего 2 Кб и является самым маленьким и разрушительным трояном для смартфонов. Методика распространения аналогична вирусу Cabir. Файл с расширением. sis маскируется под новую прошивку для операционной системы. При заражении отключаются все процессы, отвечающие за функциональность устройства в качестве телефона. После инициализации рассылается на все устройства в зоне действия Bluetooth, после чего те умолкают. Избавиться от Gavno можно, деинсталлировав его при помощи мобильного антивируса.
Locknut
Замечен в марте 2005 года компанией F-Secure. Является угрозой для смартфонов на платформе Symbian Series 60. Распространяется, маскируясь под патч для обновления системного компонента. После запуска вирус уничтожает системный компонент, вследствие чего становится невозможным запустить ни одно приложение. Далее программа начинает противоречить сама себе. Сначала она устанавливает на смартфон червя Cabir, после чего удаляет все программы, в том числе и недавно инсталлированный вирус. Однако противоречие туг только кажущееся. Дело в том, что если Locknut все же блокируется и уничтожается антивирусными приложениями, то Cabir остается на смарфтоне. Он помещается в «неправильную» папку, и большинство антивирусов просто не могут его обнаружить.
Skulls
Его появление датируется концом 2004 года. Троян замаскирован под утилиту расширенного управления интерфейсными темами (Extended Theme Manager), а в качестве разработчика деструктивного приложения указывается фирма Тее-222. После запуска вируса иконки системных программ автоматически заменяются изображениями черепов, а использование основных функций — таких, как работа в Интернете, отправка и чтение сообщений, электронная почта — становится невозможным. Однако инфицированные аппараты все же сохраняют функциональность телефона, пользователи мог совершать и принимать звонки. Специалисты настоятельно рекомендуют всем владельцам портативных устройств с Symbian OS быть максимально внимательными при загрузке любого программного обеспечения из глобальной паутины, поскольку процесс удаления трояна Skulls достаточно сложен и требует наличия специальной программы. Если вирус все же был инсталлирован, пользователям ни в коем случае нельзя перезагружать смартфон, так как потом он может просто на включиться.