Вредоносное ПО: mobile
"Компьютерные вирусы следует считать одной из форм жизни. Хотя компьютерные вирусы не имеют собственного обмена веществом, они вполне могут паразитировать на зараженном компьютере, используя его "метаболизм". Стивен Хокинг
Примерно пару лет назад ситуация с различной вредоносной софт-мерзостью в области мобильной связи выглядела довольно спокойной для всех нас. Попробуем проследить период взрыва эпидемии и дальнейшей мутации "мобильного вируса":
15 июня 2004 г. компания-разработчик антивирусного ПО "Лаборатория Касперского" сообщила, что впервые обнаружен сетевой червь для мобильных телефонов.
11 августа 2004 г. агентство ВВС обрадовало мир новой "радостной" вестью: обнаружен новый вирус мобильных телефонов — QDial26. Но, кроме рассылки SMS, другого вреда вирус не причиняет.
17 июля 2004 г. свой вирус получили карманные персональные компьютеры, так называемые наладонники. Именно в этот день стало известно, что обнаружен первый вирус, поражающий карманные компьютеры, которые работают на операционной системе Windows Pocket PC производства компании Microsoft.
2 августа 2004 г. "Лаборатория Касперского" вновь обнаружила Backdoor.WinCE.Brador.a — первую программу-backdoor (утилиту скрытого
дистанционного доступа) для карманных персональных компьютеров PocketPC, работающих под управлением ОС Windows CE.
В то же время, антивирусная компания F-Secure сообщила, что вирусописатели создали новый вирус — Lasco.A, который разносится как по беспроводным соединениям, так и прикрепляясь к файлам. Данный "паразит" присоединяется к любому файлу приложения мобильного телефона, использующего операционную систему Symbian. Вирус активизируется, как только владелец мобильного телефона щелкает по программе и устанавливает ее в мобильный телефон. "Таким образом, любой файл приложения, который копируется на другой телефон, как это часто случается, когда люди обмениваются программами, тоже содержит в себе копию вируса Lasco.A", — сообщает F-Secure. Вот именно так можно описать не совсем живописную картину распространения вирусов мобильных телефонов. В современные дни ситуация ничем не отличается: вирусописатели не останавливаются на достигнутом. До сих пор "бродит" программа-backdoor Backdoor.WinCE.Brador.a, но уже слегка мутированный. Нынче это утилита удаленного администрирования размером 5632 байт, поражающая КПК на базе Windows CE. После запуска backdoor создает свой файл с именем svchost.exe в каталоге запуска Windows, таким образом, получая полное управление системой при каждом включении КПК. Backdoor определяет IP-адрес зараженной системы и отправляет его по электронной почте автору, информируя его о том, что КПК находится в сети, и backdoor активен. После этого он открывает порт 44299 для приема различных команд. Основная функция WinCE.Brador.a — открытие портов на зараженных машинах с целью получения злоумышленниками доступа к КПК и полного контроля над мобильным устройством. Программе присущи функции автозагрузки и удаленного управления, кроме того, она может добавлять или удалять файлы на жестком диске, а также пересылать их злоумышленнику. Backdoor не имеет функции самораспространения и может попасть на КПК пользователя под видом другой, безобидной, программы по классической для троянских программ схеме: зараженные вложения в электронных письмах и загрузка через сеть интернет, а также при передаче данных с настольного компьютера. Как заявил Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского" — "WinCE.Brador.a — полноценная вредоносная программа, здесь речь уже не идет о демонстрации вирусописателями своих возможностей, мы можем наблюдать набор деструктивных функций, характерный для большинства backdoor'ов". Понятно, что "Лаборатория Касперского" заинтересована в продажах своего антивирусного продукта, но не стоит полностью игнорировать предупреждение. Вместе с тем, появляется и "лекарство" — антивирус для карманных компьютеров — Kaspersky Security для PDA, работающий на двух платформах: Pocket PC и Palm OS.
Можно было бы легко вздохнуть и сказать, что обычным мобильным телефонам вредоносные программы никак не угрожают. Java — хорошо защищенная среда, совершенно не интересующая вирусописателей. Мелкие огрехи легко и оперативно латаются, и поводов для беспокойства абсолютно нет. То, что мы ошибочно называли "телефонными вирусами", на самом деле представляет собой последствия некорректной обработки определенных команд. Приводя пример, можно вспомнить прославившегося "Сименс киллера", от которого пострадал не один десяток пользователей трубок 35-й серии. Это была безобидная ситуация, когда при попытке открыть SMS-сообщение с одним хитро оформленным словом телефон безнадежно зависал. Спасала только перестановка SIM-карты в любой другой аппарат, позволяющий стереть сообщение без его открывания. Но спокойно жить нам никто не даст... Уже хорошо известная нам "Лаборатория Касперского" сообщает об обнаружении первой вредоносной программы для мобильных телефонов, способных заражать Java-приложения (J2ME). Заражению этой троянской программой, получившей по классификации вирусных аналитиков компании название Trojan- SMS.J2ME.RedBrowser.a, подвержены не только смартфоны, но и все мобильные телефоны, поддерживающие платформу Java. Данная троянская программа представляет собой приложение Java — архив в формате JAR. Файл размером 54.482 байт может иметь имя "redbrowser.jar". Троянец может быть загружен на телефон как из сети интернет, так и другими способами — через Bluetooth-соединение или с персонального компьютера. Архив содержит в себе следующие файлы:
• FS.class — вспомогательный файл (2719 байт);
• FW.class — вспомогательный файл (2664 байт);
• icon.png — файл изображения (3165 байт);
• logo101.png — файл изображения (16.829 байт);
• logo128.pnh — файл изображения (27.375 байт);
• M.class — файл интерфейса (5339 байт).
•SM.class — непосредственно само троянское приложение, осуществляющее отправку SMS (1945 байт).
К счастью, эта троянская программа легко уничтожается самим пользователем при помощи стандартных утилит телефона. Хотя пока обнаружен только один образец RedBrowser, в сети наверняка существуют иные версии подобных вредоносных программ. По мнению специалистов "Лаборатории Касперского", появление RedBrowser является признаком того, что вирусописатели расширяют свой "мобильный охват" и выходят за пределы сферы дорогостоящих смартфонов.
Что именно интересует злодеев, для чего они атакуют телефоны? Главная причина — информация и деньги. Информация может заинтересовать разная — к примеру, список контактов. Потеря или разглашение этого списка могут быть деструктивными для бизнеса. Или ваш телефон может быть использован для отсылки разного спама на другие телефоны. Примером подобного грабежа есть вирус с очень красноречивым именем Gavno.a. Этот вирус заполняет выполняемые модули текстом на русском языке, уничтожая при этом программный код. Телефон теряет даже элементарные функции приема/отклонения звонков, т.е. становится абсолютно непригодным. Интересно то, что на территорию бывшего СССР эпидемия данного вируса не распространилась, так что ее можно смело считать нашим вкладом в западную экономику. В настоящее время нам известно немалое количество вирусов. Способом их размножения является использование разных интерфейсов телефона. Причем всех, которые есть на телефоне. Вирус может попасть к вам путем копирования игры через инфракрасный порт из другого телефона, быть закачанным из интернета и залитым через кабель, автоматически проникнуть через канал Bluetooth, если он у вас постоянно включен. Если вы используете телефон для интернет-серфинга или приема электронной почты, это является наиболее вероятной угрозой безопасности вашего аппарата. В таких ситуациях начинаешь задаваться вопросом: "Так что же делать? Вообще не использовать смартфоны?" А мой ответ прост: "Ни в коем случае! Главное — помнить несколько простых правил":
. Не держите постоянно включенным канал Bluetooth — это не только садит батарею телефона, но и позволяет разным BlOOver'ам (программам для сканирования Bluetooth-интерфейсов, многие из которых умеют даже подбирать коды доступа к телефону) записать или выкачать что-
нибудь из вашего телефона.
. Внимательно следите за MMS-сообщениями, которые поступают на ваш телефон — они могут иметь вирус. Даже если сообщение пришло от ваших друзей, это не гарантирует, что их телефон не подвергся вирусной атаке.
. С осторожностью относитесь к электронной почте. Вложение в письма — не самый правильный метод общения с людьми, которые используют телефон для переписки, и ваши друзья должны это знать. Если вы получили письмо с вложением, это должно вас насторожить. Рекомендуется для подобной переписки создать отдельный ящик, адрес которого давать только тем, кому он действительно необходим. Это, к тому же, избавит вас в какой-то мере от спама, за который придется платить именно вам.
. Еще один метод, на мой взгляд, самый эффективный — установка антивирусной программы. К примеру, Антивирус Касперского Mobile — удобное и надежное решение для защиты смартфонов под управлением Symbian OS и Windows Mobile от вредоносных программ для мобильных платформ. Он сочетает в себе несколько режимов проверки (проверка по требованию, постоянная проверка, проверка по расписанию) и ряд особенностей, что действительно позволяет максимально защитить вас и ваш аппарат от вирусов.
Сегодня существует более 30 разновидностей вирусов для мобильных телефонов по сравнению с более чем 112 тысячами вирусов для персональных компьютеров. Согласитесь, выглядит весьма скромно. Однако эксперты телекоммуникационной индустрии уверены, что рост числа вирусов для мобильных телефонов будет стремительным. Так что запасаемся терпением, а главное — не теряем бдительность.
Стас aka smoox, q@sa-sec.org, SASecurity gr.
Примерно пару лет назад ситуация с различной вредоносной софт-мерзостью в области мобильной связи выглядела довольно спокойной для всех нас. Попробуем проследить период взрыва эпидемии и дальнейшей мутации "мобильного вируса":
15 июня 2004 г. компания-разработчик антивирусного ПО "Лаборатория Касперского" сообщила, что впервые обнаружен сетевой червь для мобильных телефонов.
11 августа 2004 г. агентство ВВС обрадовало мир новой "радостной" вестью: обнаружен новый вирус мобильных телефонов — QDial26. Но, кроме рассылки SMS, другого вреда вирус не причиняет.
17 июля 2004 г. свой вирус получили карманные персональные компьютеры, так называемые наладонники. Именно в этот день стало известно, что обнаружен первый вирус, поражающий карманные компьютеры, которые работают на операционной системе Windows Pocket PC производства компании Microsoft.
2 августа 2004 г. "Лаборатория Касперского" вновь обнаружила Backdoor.WinCE.Brador.a — первую программу-backdoor (утилиту скрытого
дистанционного доступа) для карманных персональных компьютеров PocketPC, работающих под управлением ОС Windows CE.
В то же время, антивирусная компания F-Secure сообщила, что вирусописатели создали новый вирус — Lasco.A, который разносится как по беспроводным соединениям, так и прикрепляясь к файлам. Данный "паразит" присоединяется к любому файлу приложения мобильного телефона, использующего операционную систему Symbian. Вирус активизируется, как только владелец мобильного телефона щелкает по программе и устанавливает ее в мобильный телефон. "Таким образом, любой файл приложения, который копируется на другой телефон, как это часто случается, когда люди обмениваются программами, тоже содержит в себе копию вируса Lasco.A", — сообщает F-Secure. Вот именно так можно описать не совсем живописную картину распространения вирусов мобильных телефонов. В современные дни ситуация ничем не отличается: вирусописатели не останавливаются на достигнутом. До сих пор "бродит" программа-backdoor Backdoor.WinCE.Brador.a, но уже слегка мутированный. Нынче это утилита удаленного администрирования размером 5632 байт, поражающая КПК на базе Windows CE. После запуска backdoor создает свой файл с именем svchost.exe в каталоге запуска Windows, таким образом, получая полное управление системой при каждом включении КПК. Backdoor определяет IP-адрес зараженной системы и отправляет его по электронной почте автору, информируя его о том, что КПК находится в сети, и backdoor активен. После этого он открывает порт 44299 для приема различных команд. Основная функция WinCE.Brador.a — открытие портов на зараженных машинах с целью получения злоумышленниками доступа к КПК и полного контроля над мобильным устройством. Программе присущи функции автозагрузки и удаленного управления, кроме того, она может добавлять или удалять файлы на жестком диске, а также пересылать их злоумышленнику. Backdoor не имеет функции самораспространения и может попасть на КПК пользователя под видом другой, безобидной, программы по классической для троянских программ схеме: зараженные вложения в электронных письмах и загрузка через сеть интернет, а также при передаче данных с настольного компьютера. Как заявил Евгений Касперский, руководитель антивирусных исследований "Лаборатории Касперского" — "WinCE.Brador.a — полноценная вредоносная программа, здесь речь уже не идет о демонстрации вирусописателями своих возможностей, мы можем наблюдать набор деструктивных функций, характерный для большинства backdoor'ов". Понятно, что "Лаборатория Касперского" заинтересована в продажах своего антивирусного продукта, но не стоит полностью игнорировать предупреждение. Вместе с тем, появляется и "лекарство" — антивирус для карманных компьютеров — Kaspersky Security для PDA, работающий на двух платформах: Pocket PC и Palm OS.
Можно было бы легко вздохнуть и сказать, что обычным мобильным телефонам вредоносные программы никак не угрожают. Java — хорошо защищенная среда, совершенно не интересующая вирусописателей. Мелкие огрехи легко и оперативно латаются, и поводов для беспокойства абсолютно нет. То, что мы ошибочно называли "телефонными вирусами", на самом деле представляет собой последствия некорректной обработки определенных команд. Приводя пример, можно вспомнить прославившегося "Сименс киллера", от которого пострадал не один десяток пользователей трубок 35-й серии. Это была безобидная ситуация, когда при попытке открыть SMS-сообщение с одним хитро оформленным словом телефон безнадежно зависал. Спасала только перестановка SIM-карты в любой другой аппарат, позволяющий стереть сообщение без его открывания. Но спокойно жить нам никто не даст... Уже хорошо известная нам "Лаборатория Касперского" сообщает об обнаружении первой вредоносной программы для мобильных телефонов, способных заражать Java-приложения (J2ME). Заражению этой троянской программой, получившей по классификации вирусных аналитиков компании название Trojan- SMS.J2ME.RedBrowser.a, подвержены не только смартфоны, но и все мобильные телефоны, поддерживающие платформу Java. Данная троянская программа представляет собой приложение Java — архив в формате JAR. Файл размером 54.482 байт может иметь имя "redbrowser.jar". Троянец может быть загружен на телефон как из сети интернет, так и другими способами — через Bluetooth-соединение или с персонального компьютера. Архив содержит в себе следующие файлы:
• FS.class — вспомогательный файл (2719 байт);
• FW.class — вспомогательный файл (2664 байт);
• icon.png — файл изображения (3165 байт);
• logo101.png — файл изображения (16.829 байт);
• logo128.pnh — файл изображения (27.375 байт);
• M.class — файл интерфейса (5339 байт).
•SM.class — непосредственно само троянское приложение, осуществляющее отправку SMS (1945 байт).
К счастью, эта троянская программа легко уничтожается самим пользователем при помощи стандартных утилит телефона. Хотя пока обнаружен только один образец RedBrowser, в сети наверняка существуют иные версии подобных вредоносных программ. По мнению специалистов "Лаборатории Касперского", появление RedBrowser является признаком того, что вирусописатели расширяют свой "мобильный охват" и выходят за пределы сферы дорогостоящих смартфонов.
Что именно интересует злодеев, для чего они атакуют телефоны? Главная причина — информация и деньги. Информация может заинтересовать разная — к примеру, список контактов. Потеря или разглашение этого списка могут быть деструктивными для бизнеса. Или ваш телефон может быть использован для отсылки разного спама на другие телефоны. Примером подобного грабежа есть вирус с очень красноречивым именем Gavno.a. Этот вирус заполняет выполняемые модули текстом на русском языке, уничтожая при этом программный код. Телефон теряет даже элементарные функции приема/отклонения звонков, т.е. становится абсолютно непригодным. Интересно то, что на территорию бывшего СССР эпидемия данного вируса не распространилась, так что ее можно смело считать нашим вкладом в западную экономику. В настоящее время нам известно немалое количество вирусов. Способом их размножения является использование разных интерфейсов телефона. Причем всех, которые есть на телефоне. Вирус может попасть к вам путем копирования игры через инфракрасный порт из другого телефона, быть закачанным из интернета и залитым через кабель, автоматически проникнуть через канал Bluetooth, если он у вас постоянно включен. Если вы используете телефон для интернет-серфинга или приема электронной почты, это является наиболее вероятной угрозой безопасности вашего аппарата. В таких ситуациях начинаешь задаваться вопросом: "Так что же делать? Вообще не использовать смартфоны?" А мой ответ прост: "Ни в коем случае! Главное — помнить несколько простых правил":
. Не держите постоянно включенным канал Bluetooth — это не только садит батарею телефона, но и позволяет разным BlOOver'ам (программам для сканирования Bluetooth-интерфейсов, многие из которых умеют даже подбирать коды доступа к телефону) записать или выкачать что-
нибудь из вашего телефона.
. Внимательно следите за MMS-сообщениями, которые поступают на ваш телефон — они могут иметь вирус. Даже если сообщение пришло от ваших друзей, это не гарантирует, что их телефон не подвергся вирусной атаке.
. С осторожностью относитесь к электронной почте. Вложение в письма — не самый правильный метод общения с людьми, которые используют телефон для переписки, и ваши друзья должны это знать. Если вы получили письмо с вложением, это должно вас насторожить. Рекомендуется для подобной переписки создать отдельный ящик, адрес которого давать только тем, кому он действительно необходим. Это, к тому же, избавит вас в какой-то мере от спама, за который придется платить именно вам.
. Еще один метод, на мой взгляд, самый эффективный — установка антивирусной программы. К примеру, Антивирус Касперского Mobile — удобное и надежное решение для защиты смартфонов под управлением Symbian OS и Windows Mobile от вредоносных программ для мобильных платформ. Он сочетает в себе несколько режимов проверки (проверка по требованию, постоянная проверка, проверка по расписанию) и ряд особенностей, что действительно позволяет максимально защитить вас и ваш аппарат от вирусов.
Сегодня существует более 30 разновидностей вирусов для мобильных телефонов по сравнению с более чем 112 тысячами вирусов для персональных компьютеров. Согласитесь, выглядит весьма скромно. Однако эксперты телекоммуникационной индустрии уверены, что рост числа вирусов для мобильных телефонов будет стремительным. Так что запасаемся терпением, а главное — не теряем бдительность.
Стас aka smoox, q@sa-sec.org, SASecurity gr.
Компьютерная газета. Статья была опубликована в номере 17 за 2008 год в рубрике безопасность