Попытка систематизировать заразу. Далеко неполный перечень ....
______________________________________________________________
Финская антивирусная компания f-secure обнаружила очередной троян для мобильных телефонов, работающих на базе Symbian Series 60. Fontal.A является троянским конем, замаскированным под файл SIS.
Троян устанавливает в телефон поврежденный системный файл, поэтому мобильный телефон становится невозможно перезапустить. При попытке перезапуска инфицированный мобильник просто зависает. Спасти его можно, только полностью удалив вирус. Но вместе с вирусом придется удалить и всю остальную информацию. Пока единственный известный способ восстановления зараженного телефона состоит в использовании комбинации клавиш для переформатирования. Увы, все данные, хранящиеся в телефоне, будут утеряны.
Fontal.A является трояном, поэтому самостоятельно не может распространяться ни через bluetooth, ни через MMS. Специалисты F-secure говорят, что наиболее вероятный путь заражения — это получение файла в сетях чата IRC или в пиринговых файлообменниках. Спасти свой телефон от Fontal.A просто: не загружайте неизвестные файлы из ќлевых› источников.
Trojan.SymbOS.Mosquit.a
Другие названия
Trojan.SymbOS.Mosquit.a («Лаборатория Касперского») также известен как: SymbOS/QDial26 (McAfee), Trojan.Mos (Symantec), Troj/Mosqit-A (Sophos), SymbOS_QDIAL.A (Trend Micro), TR/SymbOS.Mosqu.A.1 (H+BEDV), SymbOS/Mquito (Grisoft), Trojan.SymbianOS.Mosqit.A (ClamAV), SymbOS/Toquimos.A (Panda), SymbOS/Mosquit.A (Eset) Описание опубликовано 11 авг 2004
Поведение Trojan, троянская программа
Технические детали
Данная программа не является троянской программой в истинном смысле данного определения.
Основной причиной, по которой данная игра была классифицирована как троянец, является наличие кода для скрытой рассылки SMS на определенные в коде номера без ведома пользователя.
Данная игра работает под управлением OS Symbian.
Программа представляет собой инсталляционный файл SIS размером около 140 КБ. В оригинальном виде имя файла - <Mosquitos Cracked by Soddom.sis> или <Mosquitos Cracked by Soddom V2.0.sis>, но в интернете также встречаются дистрибутивы с другими именами.
В установленном виде имеет имя <Mosquitos.app> и размер 261,6 КБ.
Worm.SymbOS.Comwar.a
Другие названия
Worm.SymbOS.Comwar.a («Лаборатория Касперского») также известен как: SymbOS.Commwarrior.A (Symantec), Symb/Comwar-A (Sophos), SYMBOS_COMWAR.A (Trend Micro), SymbOS/Commwarrier.a (H+BEDV), SymbOS/CommWarrior.A (Grisoft), SymbOS.Worm.ComWar.A (SOFTWIN), SymbOS/ComWar.A.wor (Panda), SymbOS/CommWarrior.A (Eset) Детектирование добавлено 10 мар 2005
Описание опубликовано 10 мар 2005
Поведение Net-Worm, интернет-червь
Технические детали
Первый червь для сотовых телефонов, размножающийся при помощи MMS.
Работает на телефонах под управлением ОС Symbian Series 60.
Исполняемый файл червя упакован в установочный архив Symbian (SIS). Размер архива — 27-30КБ. Название файла может варьироваться; в частности, передавая себя по Bluetooth, червь генерирует произвольное имя файла длиной 8 символов, например bg82o_s1.sis.
Инсталляция
После запуска архив распаковывается в systemappsCommWarrior:
systemappsCommWarriorcommwarrior.exe
systemappsCommWarriorcommrec.mdl
Запущенный файл commwarrior.exe в свою очередь копирует эти файлы и оригинальный архив в директорию systemupdates:
systemupdatescommwarrior.exe
systemupdatescommrec.mdl
systemupdatescommw.sis
Размножение
Червь распространяется двумя способами: по Bluetooth и по MMS.
После запуска червь инициирует поиск доступных через Bluetooth устройств и передает на них зараженный SIS-архив с произвольным именем. Для его открытия (и заражения телефона) необходимо несколько раз подтвердить прием файла.
Помимо этого, червь рассылает себя по контактам адресной книги при помощи MMS-сообщений. Тема и текст сообщений варьируются:
Norton AntiVirus
Released now for mobile, install it!
3DGame
3DGame from me. It is FREE !
3DNow!
3DNow!™ mobile emulator for *GAMES*.
Audio driver
Live3D driver with polyphonic virtual speakers!
CheckDisk
*FREE* CheckDisk for SymbianOS released!MobiComm
Desktop manager
Official Symbian desctop manager.
Display driver
Real True Color mobile display driver!
Dr.Web
New Dr.Web antivirus for Symbian OS. Try it!
Free SEX!
Free *SEX* software for you!
Happy Birthday!
Happy Birthday! It is present for you!
Internet Accelerator
Internet accelerator, SSL security update #7.
Internet Cracker
It is *EASY* to *CRACK* provider accounts!
MS-DOS
MS-DOS emulator for SymbvianOS. Nokia series 60 only. Try it!
MatrixRemover
Matrix has you. Remove matrix!
Nokia ringtoner
Nokia RingtoneManager for all models.
PocketPCemu
PocketPC *REAL* emulator for Symbvian OS! Nokia only.
Porno images
Porno images collection with nice viewer!
PowerSave Inspector
Save you battery and *MONEY*!
Security update #12
Significant security update. See www.symbian.com
Symbian security update
See security news at www.symbian.com
SymbianOS update
OS service pack #1 from Symbian inc.
Virtual SEX
Virtual SEX mobile engine from Russian hackers!
WWW Cracker
Helps to *CRACK* WWW sites like hotmail.com
Червь содержит в себе текст:
CommWarrior v1.0b © 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute
it in it's original unmodified form.
OTMOP03KAM HET!
Worm.SymbOS.Cabir.a
Другие версии: .k
Другие названия
Worm.SymbOS.Cabir.a («Лаборатория Касперского») также известен как: SymbOS/Cabir.b (McAfee), SymbOS.Cabir.B (Symantec), Symb/Cabir-C (Sophos), SymbOS_CABIR.A (Trend Micro), Worm/Symbi.Cabir.A (H+BEDV), SymbOS.Worm.Caribe.A (SOFTWIN), SymbOS/Cabir.A.worm (Panda) Описание опубликовано 15 июн 2004
Поведение Net-Worm, интернет-червь
Технические детали
Первый сетевой червь, распространяющийся через протокол Bluetooth и заражающий мобильные телефоны, работающие под управлением OS Symbian.
Из-за большого количества подобных телефонов различных производителей, пока не представляется возможным указать все подверженные заражению модели, однако с полной уверенностью можно говорить о Nokia 3650, 7650 и N-Gage.
Потенциально заражению могут оказаться подвержены все мобильные телефоны, использующие платформу Symbian.
В настоящий момент известны две версии данного червя, отличающиеся только наличием строчки "VZ/29a" в выводимом на экран тексте Window Alert.
Червь представляет собой файла формата SIS, caribe.sis. Размер файла - 15092 байт (или 15104 байт).
Данный файл содержит в себе несколько объектов:
caribe.app: размер 11932 байт (или 11944 байт)
flo.mdl: размер 2544 байт
caribe.rsc: размер 44 байта
Инсталляция
При запуске червь выводит на экран сообщение "Caribe" (или "Caribe - VZ/29a"):
И затем инсталлирует себя в различные каталоги:
с:systemappscaribecaribe.app
с:systemappscaribeflo.mdl
с:systemappscaribecaribe.rsc
C:SYSTEMSYMBIANSECUREDATACARIBESECURITYMANAGERCARIBE.SIS
C:SYSTEMSYMBIANSECUREDATACARIBESECURITYMANAGERCARIBE.APP
C:SYSTEMSYMBIANSECUREDATACARIBESECURITYMANAGERCARIBE.RSC
C:SYSTEMRECOGSFLO.MDL
Каталог "SYMBIANSECUREDATA", создаваемый червем, является скрытым и не виден пользователю зараженного телефона.
В случае удаления файлов червя из каталога "APPS", червь будет продолжать свою работу в системе.
Размножение
При каждом включении зараженного телефона червь получает управление и начинает сканировать список активных Bluetooth-соединений. Затем червь выбирает первое доступное соединение из списка и пытается передать туда свой основной файл "caribe.sis". В этом случае у пользователя принимающего телефона на экран выводится сообщение:
В случае, если пользователь подтвердит прием файла, то его телефон примет зараженный файл и предложит запустить его на исполнение (зависит от модели телефона):
Прочее
Червь не содержит никакой побочной функциональности, кроме саморазмножения. Однако зараженный телефон может работать нестабильно, из-за постоянного наличия червя в памяти и его попыток сканирования активных Bluetooth-устройств.
Удаление червя
"Лаборатория Касперского" разработала специальную утилиту для удаления Cabir.a с зараженного мобильного устройства под управлением ОС Symbian.
В настоящее время утилита работает с телефонами Nokia 3650, 6600 и Siemens SX1. Утилита также способна работать на Nokia N-Gage и Sony Ericsson P900, хотя тестирование на этих аппаратах не проводилось.
Чтобы воспользоваться утилитой, необходимо любым способом загрузить установочный файл decabir.sis на мобильный аппарат, и запустить его. Затем, выбрать иконку Decabir в главном меню телефона. Если червь на аппарате не обнаружен, утилита выдаст сообщение "Device is clean". В противном случае появится сообщение "Cabir has been removed. Please reboot", после которого необходимо перезапустить телефон (выключить и снова включить).
Утилита выложена на WAP-сайт wap.kaspersky.com и доступна для загрузки непосредственно со страниц WAP-сайта или же из WWW по ссылке wap.kaspersky.com/downloads/decabir.sis.
Worm.SymbOS.Lasco.a
Другие названия
Worm.SymbOS.Lasco.a («Лаборатория Касперского») также известен как: SymbOS.Lasco.A (Symantec), SYMBOS_VLASCO.A (Trend Micro), Worm/SymbOS.Cabir.f (H+BEDV), SymbOS/Cabir.H (Grisoft), SymbOS/Lasco.A.worm (Panda) Детектирование добавлено 11 янв 2005
Описание опубликовано 11 янв 2005
Поведение Net-Worm, интернет-червь
Технические детали
Worm.SymbOS.Lasco.a - червь для карманных компьютеров и сотовых телефонов, работающих под управлением Symbian OS. Кроме того, это первый вирус, заражающий исполняемые файлы (в частности, SIS-архивы) для данной платформы.
Вирус написан автором последних версий Symbian-червя Worm.SymbOS.Cabir и основан на его коде, поэтому процедура размножения посредством BlueTooth не отличается от таковой в случае с Worm.SymbOS.Cabir.
Помимо функции BlueTooth-червя, вирус также содержит функцию заражения файлов. При запуске он сканирует диск в поисках SIS-архивов, а найденные файлы пытается заражать посредством внедрения своего кода внутрь архива.
Вирус представлен в двух вариантах: приложение для платформы Win32, заражающее найденные SIS-файлы, и приложение для платформы Symbian.
velasco.sis, размер 15750 - основной файл вируса
sisinfect.exe, размер 69632 - инфектор, работающий в Windows. Сканирует локальные диски в поисках SIS-архивов, найденные пытается заражать, внедряя в них содержимое velasco.sis. marcos.sis, размер 1579 - содержит модуль marco.mdl, устанавливающий velasco.sis в автозагрузку системы Symbian.
Вирусные файлы располагаются в следующей директории мобильного устройства:
C:SYSTEMSYMBIANSECUREDATAVELASCO
Файл автозагрузки находится здесь:
C:SYSTEMRECOGSMARCOS.MDL
Trojan.SymbOS.Skuller.a
Другие названия
Trojan.SymbOS.Skuller.a («Лаборатория Касперского») также известен как: SymbOS.Skulls (Symantec), Troj/Skulls-A (Sophos), SymbOS_SKULLS.A (Trend Micro), SymbOS/Skulls.A (Grisoft), SymbOS/Skulls.A (Panda), SymbOS/Skulls.A (Eset) Детектирование добавлено 20 ноя 2004
Описание опубликовано 27 дек 2004
Поведение Trojan, троянская программа
Технические детали
Троянская программа, заражающая мобильные телефоны, работающие под управлением OS Symbian.
Потенциально заражению могут оказаться подвержены все мобильные телефоны, использующие платформу Symbian.
Троянец представляет собой файл формата SIS, возможное имя файла: "extended theme.sis". Размер файла - 1192117 байт.
Троянец был распространен через различные форумы, посвященные мобильным телефонам, как программа, содержащая новые иконки, обои рабочего стола и т. д.
При инсталляции программа создает в телефоне следующие информационные файлы и файлы приложений:
.SystemAppsAboutAbout.aif
.SystemAppsAboutAbout.app
.SystemAppsAppInstAppInst.aif
.SystemAppsAppInstAppinst.app
.SystemAppsAppMngrAppMngr.aif
.SystemAppsAppMngrAppmngr.app
.SystemAppsAutolockAutolock.aif
.SystemAppsAutolockAutolock.app
.SystemAppsBrowserBrowser.aif
.SystemAppsBrowserBrowser.app
.SystemAppsBtUiBtUi.aif
.SystemAppsBtUiBtUi.app
.SystemAppsbvabva.aif
.SystemAppsbvabva.app
.SystemAppsCalcsoftCalcsoft.aif
.SystemAppsCalcsoftCalcsoft.app
.SystemAppsCalendarCalendar.aif
.SystemAppsCalendarCalendar.app
.SystemAppsCamcorderCamcorder.aif
.SystemAppsCamcorderCamcorder.app
.SystemAppsCbsUiAppCbsUiApp.aif
.SystemAppsCbsUiAppCbsUiApp.app
.SystemAppsCERTSAVERCERTSAVER.aif
.SystemAppsCERTSAVERCERTSAVER.APP
.SystemAppsChatChat.aif
.SystemAppsChatChat.app
.SystemAppsClockAppClockApp.aif
.SystemAppsClockAppClockApp.app
.SystemAppsCodViewerCodViewer.aif
.SystemAppsCodViewerCodViewer.app
.SystemAppsConnectionMonitorUiConnectionMonitorUi.aif
.SystemAppsConnectionMonitorUiConnectionMonitorUi.app
.SystemAppsConverterConverter.aif
.SystemAppsConverterconverter.app
.SystemAppscshelpcshelp.aif
.SystemAppscshelpcshelp.app
.SystemAppsDdViewerDdViewer.aif
.SystemAppsDdViewerDdViewer.app
.SystemAppsDictionaryDictionary.aif
.SystemAppsDictionarydictionary.app
.SystemAppsFileManagerFileManager.aif
.SystemAppsFileManagerFileManager.app
.SystemAppsGSGS.aif
.SystemAppsGSgs.app
.SystemAppsImageViewerImageViewer.aif
.SystemAppsImageViewerImageViewer.app
.SystemAppslocationlocation.aif
.SystemAppslocationlocation.app
.SystemAppsLogsLogs.aif
.SystemAppsLogsLogs.app
.SystemAppsmcemce.aif
.SystemAppsmcemce.app
.SystemAppsMediaGalleryMediaGallery.aif
.SystemAppsMediaGalleryMediaGallery.app
.SystemAppsMediaPlayerMediaPlayer.aif
.SystemAppsMediaPlayerMediaPlayer.app
.SystemAppsMediaSettingsMediaSettings.aif
.SystemAppsMediaSettingsMediaSettings.app
.SystemAppsMenuMenu.aif
.SystemAppsMenuMenu.app
.SystemAppsmmcappmmcapp.aif
.SystemAppsmmcappmmcapp.app
.SystemAppsMMMMMM.app
.SystemAppsMmsEditorMmsEditor.aif
.SystemAppsMmsEditorMmsEditor.app
.SystemAppsMmsViewerMmsViewer.aif
.SystemAppsMmsViewerMmsViewer.app
.SystemAppsMsgMailEditorMsgMailEditor.aif
.SystemAppsMsgMailEditorMsgMailEditor.app
.SystemAppsMsgMailViewerMsgMailViewer.aif
.SystemAppsMsgMailViewerMsgMailViewer.app
.SystemAppsMusicPlayerMusicPlayer.aif
.SystemAppsMusicPlayerMusicPlayer.app
.SystemAppsNotepadNotepad.aif
.SystemAppsNotepadNotepad.app
.SystemAppsNpdViewerNpdViewer.aif
.SystemAppsNpdViewerNpdViewer.app
.SystemAppsNSmlDMSyncNSmlDMSync.aif
.SystemAppsNSmlDMSyncNSmlDMSync.app
.SystemAppsNSmlDSSyncNSmlDSSync.aif
.SystemAppsNSmlDSSyncNSmlDSSync.app
.SystemAppsPhonePhone.aif
.SystemAppsPhonePhone.app
.SystemAppsPhonebookPhonebook.aif
.SystemAppsPhonebookPhonebook.app
.SystemAppsPinboardPinboard.aif
.SystemAppsPinboardPinboard.app
.SystemAppsPRESENCEPRESENCE.aif
.SystemAppsPRESENCEPRESENCE.APP
.SystemAppsProfileAppProfileApp.aif
.SystemAppsProfileAppprofileapp.app
.SystemAppsProvisioningCxProvisioningCx.aif
.SystemAppsProvisioningCxProvisioningCx.app
.SystemAppsPSLNPSLN.aif
.SystemAppsPSLNPSLN.app
.SystemAppsPushViewerPushViewer.aif
.SystemAppsPushViewerPushViewer.app
.SystemAppsSatuiSatui.aif
.SystemAppsSatuiSatui.app
.SystemAppsSchemeAppSchemeApp.aif
.SystemAppsSchemeAppSchemeApp.app
.SystemAppsScreenSaverScreenSaver.aif
.SystemAppsScreenSaverScreenSaver.app
.SystemAppsSdnSdn.aif
.SystemAppsSdnSdn.app
.SystemAppsSimDirectorySimDirectory.aif
.SystemAppsSimDirectorySimDirectory.app
.SystemAppsSmsEditorSmsEditor.aif
.SystemAppsSmsEditorSmsEditor.app
.SystemAppsSmsViewerSmsViewer.aif
.SystemAppsSmsViewerSmsViewer.app
.SystemAppsSpeeddialSpeeddial.aif
.SystemAppsSpeeddialSpeeddial.app
.SystemAppsStartupStartup.aif
.SystemAppsStartupStartup.app
.SystemAppsSysApSysAp.aif
.SystemAppsSysApSysAp.app
.SystemAppsToDoToDo.aif
.SystemAppsToDoToDo.app
.SystemAppsUssdUssd.aif
.SystemAppsUssdUssd.app
.SystemAppsVCommandVCommand.aif
.SystemAppsVCommandVCommand.app
.SystemAppsVmVm.aif
.SystemAppsVmVm.app
.SystemAppsVoicerecorderVoicerecorder.aif
.SystemAppsVoicerecorderVoicerecorder.app
.SystemAppsWALLETAVMGMTWALLETAVMGMT.aif
.SystemAppsWALLETAVMGMTWALLETAVMGMT.APP
.SystemAppsWALLETAVOTAWALLETAVOTA.aif
.SystemAppsWALLETAVOTAWALLETAVOTA.APP
Также троянец создает следующие файлы:
.SystemLibslicencemanager20s.dll
.SystemLibslmpro.r01
.SystemLibslmpro.r02
.SystemLibsnotification.cmd
.SystemLibssoftwarecopier200.dll
.SystemLibsZLIB.DLL
Файлы приложений (app), созданные троянцем, являются обычными приложениями платформы Symbian и не содержат вредоносного кода. Вредоносными являются aif-файлы, которые создают иконки приложений в виде черепа и не дают доступ к указанным приложениям.
Таким образом, все приложения телефона перестают функционировать. После заражения телефон можно использовать только по его прямому назначению: звонить и принимать вызовы, то есть просто разговаривать. Все остальные функции (SMS, MMS, камера, органайзер и т. д.) перестают работать.
Троянец заменяет иконки всех приложений в телефоне на свою собственную иконку - череп с костями.
Trojan.SymbOS.Locknut.a
Другие названия
Trojan.SymbOS.Locknut.a («Лаборатория Касперского») также известен как: SymbOS/Locknut (McAfee), SymbOS.Locknut (Symantec), Troj/Locknut-A (Sophos), SymbOS_LOCKNUT.A (Trend Micro), SymbOS/Locknut.A (H+BEDV), SymbOS.Worm.Cabir.H (SOFTWIN), SymbOS/Locknut.A (Panda), SymbOS/Locknut.A (Eset) Детектирование добавлено 08 фев 2005
Описание опубликовано 10 фев 2005
Поведение Trojan, троянская программа
Технические детали
Троянская программа, представляющая собой приложение для операционной системы Symbian — SIS-архив размером 1-2КБ. При запуске архива его содержимое распаковывается в папку "systemappsgavno":
gavno.app
gavno.rsc
gavno_caption.rsc
Все файлы (включая файл приложения gavno.app) содержат только текст на русском языке и не содержат соответствующей своему формату служебной информации.
При попытке запустить файл gavno.app, не являющийся на самом деле исполняемым, происходит ошибка операционной системы, в связи с которой устройство под управлением этой ОС может утратить часть своей функциональности.