Отправляет email-рассылки с помощью сервиса Sendsay

Мобильные вирусы. Мифы и реальность

Подписаться Бесплатная новостная рассылка Подписчиков 13 RSS
  Май 2005  
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31


За последние 60 дней ни разу не выходила


Открыта: 14-04-2005

Автор
Костин Дмитрий

Статистика

13 подписчиков
0 за неделю
  Все выпуски  

Мобильные вирусы. Мифы и реальность Выпуск 4 от 11.05.2005


Информационный Канал Subscribe.Ru

Новости мобильных вирусов ( Выпуск 4 от 11.05.2005)



11.05.2005 Вирус Mabir.A - полная информация


   ИМЯ: Mabir.A
   СРЕДА РАСПРОСТРАНЕНИЯ : Symbian OS

   Краткое описание

   Mabir - это червь, который действует на устройствах серии Symbian 60
   Mabir распространяется как через Bluetooth, так и через MMS.

   Когда Mabir.A заражает устройство , червь начинает поиск других Symbian-устройств, с которыми можно связаться через Bluetooth
   Затем вирус отправляет зараженные файлы SIS телефонам, которые находит.
   Файлы SIS, которые посылает Mabir.A всегда имеют имя "caribe.sis".
   Интересно , что хотя Mabir.A использует имя SIS-файла такое же что и более ранний вирус Cabir, это все-таки другой вирус.

   Кроме Bluetooth существует еще один путь распространения вируса Mabir.A
   Вирус отвечает на все сообщения (MMS или SMS) , которые приходят на зараженное устройство. Вирус отвечает на них MMS-сообщением , которое содержит вирус Mabir.A в файле "info.sis".

   Важно что MMS, которые посылает вирус , не содержат никакого текстового сообщения, а только файл info.sis
   То есть в отличие от стандартных MMS , которые содержат какую-либо медиа-информацию ( картинки, звук или видео), пользователь получает в этом случае достаточно необычное сообщение.

   Обнаружение и удаление вируса

   Из мобильных антивирусных программ обнаруживает Mabir.A и удаляет компоненты этого червя комплекс Mobile Anti-Virus от F-Secure .

   Если телефон заражен Mabir.A и нет возможности устанавливать файлы через bluetooth, можно загрузить F-Secure Mobile Anti-Virus другим способом

   1. Откройте веб-браузер на телефоне
   2. Зайдите на сайт http://mobile.f-secure.com
   3. Выберите "Download F-Secure Mobile Anti-Virus" , а затем выберите модель телефона
   4. Загрузите файл и откройте после загрузки
   5. Установите F-Secure Mobile Anti-Virus
   6. Войдите в меню приложений и запустите Anti-Virus
   7. Активируйте Anti-Virus и запустите сканирование всех файлов

   После проверки телефона и удаления вируса из памяти , вы можете удалить пустые директории, зайти в менеджер приложения и деинсталлировать файла SIS, в котором находится Mabir.A ( caribe.sis или info.sis)

   Подробное описание действий вируса

   1.Распространение через bluetooth

   Mabir копирует себя через bluetooth в SIS-файл , которые всегда называется caribe.sis. Файл SIS содержит составные файлы червя - caribe.app, caribe.rsc и flo.mdl.

   Файл SIS содержит автозапуск установки, который автоматически выполняет caribe.app после того, как файл SIS установлен, и запускает червя.

   Когда червь Mabir активизирован, червь начинает поиск других устройств, с которыми можно связаться через Bluetooth, и пересылает себя на первый найденный телефон. Если найденный телефон не поддерживает такого типа файлы или отвергает переданный файл, то вирус все равно будет пытаться послать сообщение на этот телефон .

   2.Распространение через MMS

   Mabir распространяется через MMS, посылая MMS-сообщения , которые содержат зараженный файл SIS другим пользователям . MMS-сообщения содержат файл Mabir SIS с именем файла info.sis.

   Пересылка MMS происходит после того , как на зараженное устройство приходит MMS или SMS, инициируя Mabir отправить себя как ответное MMS-сообщение на телефон, с которого пришло сообщение . Этим Mabir дезориентирует получателя, т.к. посылает ответ на сообщение, которое было отправлено на зараженный телефон ранее.

   Червь Mabir не использует никаких текстов в посланных MMS-сообщениях

   Заражение

   Когда файл Mabir SIS приходит на телефон , то инфицирование вирусом происоходит путем копирования файлов червя в следующем порядке:
   \system\apps\Caribe\Caribe.app
   \system\apps\Caribe\Caribe.rsc
   \system\apps\Caribe\flo.mdl

   Когда Mabir.exe выполняется , он копирует следующие файлы:

   \system\symbiansecuredata\caribesecuritymanager\Caribe.app
   \system\symbiansecuredata\caribesecuritymanager\Caribe.rsc

   а также восстанавливает файл SIS:

   \system\symbiansecuredata\caribesecuritymanager\Info.sis

   После этого происходит запуск червя , и начинает выполняться процедура поиска всех доступных через bluetooth устройств , а также процедура ожидания получения SMS или MMS-сообщений.

   Обнаружение

   Первая информация об инфицировании появилась 18 марта 2005 года

   Точное обнаружение и удаление Mabir.A антивирусным модулем F-Secure ( 34 upd) - 4 апреля 2005 .

   В описании вируса использовалась информация данная Jarno Niemela (F-Secure)
  
Энциклопедия мобильных вирусов 
 

11.05.2005 Вредоносные программы для мобильных устройств («Лаборатория Касперского»)

«Лаборатория Касперского» предлагает анализ тенденций эволюции информационных угроз в первом квартале 2005 года, проведенный ведущим антивирусным экспертом компании Александром Гостевым. Приводим раздел отчета, касающийся непосредственно мобильных устройств.

   Вредоносные программы для мобильных устройств

  
2004 год открыл новую страницу в истории информационной безопасности. В июне 2004 года был обнаружен первый вредоносный код, поражающий мобильные телефоны, работающие под управлением операционной системы Symbian. За прошедшее время мобильные угрозы претерпели ряд изменений и вышли на новый виток своего развития.

   Технология, представленная в черве Cabir и затем опубликованная некоторыми представителями «андерграунда» в формате общего доступа, так и остается на сегодня единственной известной и использованной другими вирусописателями.

   Именно на основе исходных кодов Cabir было создано несколько его модификаций, руку к которым приложили бразильские и китайские хакеры. Однако дальше переделки чужого кода дело у них, к счастью, пока не зашло.

   Начавшись с Bluetooth-червя Worm.SymbOS.Cabir.a, вредоносные программы для мобильных устройств сегодня представлены сразу тремя классами (Worm, Virus, Trojan), полностью соответствующими существующей структуре компьютерных вредоносных программ. Однако если традиционным вирусам потребовались годы, чтобы прийти к такому количеству поведений, то мобильные вирусы проделали этот путь менее чем за год. И что самое опасное — вплотную подошли к возможности появления «моментального червя», так называемого «Warhol Worm», способного в течение короткого промежутка времени атаковать все системы, которые принципиально могут быть атакованы.

   Речь идет об обнаруженном в марте первом образце MMS-червя. К счастью, данный червь (получивший название ComWar) имеет в себе несколько ошибок, а также значительную задержку во времени между отправкой сообщений. Однако, теоретически, подобные черви — использующие для своего размножения MMS-сообщения — способны не только очень быстро передавать свое тело с телефона на телефон, но и значительно увеличивать трафик в мобильных сетях, что может привести к их перегрузке и временному отключению. Именно подобные вирусы могут стать в самое ближайшее будущее основной головной болью специалистов IT-безопасности и провайдеров услуг мобильной связи.

   Как было сказано выше, новых вариантов Bluetooth-червей в 2005 году обнаружено не было. Однако, несмотря на малый радиус действия технологии Bluetooth и, соответственно, потенциально низкую скорость распространения подобных червей, в настоящий момент червь Cabir.a (и его модификации) уже был обнаружен в 17-и странах мира.

   Пять известных в настоящее время семейств троянских программ для мобильных телефонов, по большей части, представляют собой троянцы-бомбы. При установке в телефон они заменяют собой различные системные приложения, выводя, таким образом, телефон из строя. Практически все они содержат в себе тот или иной вариант червя Cabir, пытаясь передавать свое тело вместе с телом червя.

   Отдельного упоминания достоин червь Lasco. Он представляет собой гибрид червя и вируса. При запуске он сканирует диск в поисках SIS-архивов и пытается заражать найденные файлы путем внедрения своего кода внутрь архива. Вирус представлен в двух вариантах: приложение для платформы Win32, заражающее найденные SIS-файлы, и приложение для платформы Symbian. Функционал размножения через Bluetooth основан на исходных кодах червя Cabir.

   В заключение надо отметить, что «Лаборатория Касперского» провела специальные исследования относительно возможности заражения вирусами работающих под управлением ОС Symbian бортовых компьютеров некоторых моделей автомобилей. Согласно полученным результатам, в настоящее время подобная возможность полностью отсутствует, что, впрочем, не снимает возможности появления подобной проблемы в будущем, с развитием операционных систем не только для персональных компьютеров и мобильных телефонов, но и для других устройств.

   Вся статья «Лаборатории Касперского»

  Все о мобильных вирусах 
 
http://subscribe.ru/
http://subscribe.ru/feedback/		 Подписан адрес:
Код этой рассылки: industry.mcomm.mobilevirus		 Отписаться
В избранное