Могут ли быть вирусы на симбиан
Тема вирусов для Symbian с определенной частотой всплывает для очередных бурных обсуждений, а зря. Надеемся, данный материал расставит все точки в нужных местах и ответит на все возможные вопросы. Как и положено, начнем издалека.
Немного истории
Итак, вернемся в далекий 2005 год, когда Symbian огорчила всех фанатов смартфонов ни с чем не совместимой новой версией операционной системы. Вряд ли сама Symbian была рада такому положению вещей, но выхода у нее не было. Разработчики ПО жаловались на совсем обнаглевших хакеров и требовали встроенной в ОС системы защиты от нелегального ПО. Довольные производители антивирусов постоянно нагнетали панику, радостно анонсируя очередной обнаруженный невероятно опасный вирус, который снимает все деньги со счета пользователя, стирает все SMS и уводит девушку. Между разными версиями Symbian была обратная совместимость ПО, но не наоборот, что вызывало возмущение потребителей, которые не могли поставить на новый смартфон программу. Список можно продолжать еще долго. В общем, разработчики мобильной операционной системы подошли к решению вопроса комплексно и помимо всего прочего ввели систему сертификации. Она полностью решает проблему вирусов и некачественного ПО, частично позволяет бороться с хакерами и повышает общую целостность и надежность операционной системы.
Особенности сертификации программ
Любое приложение для Symbian должно быть подписано — это дао программ для Symbian 9. В зависимости от подписи приложение наделяется определенными полномочиями: доступ к памяти, функциям телефона, сети. Даже сам факт установки требует определенного сертификата. Чтобы приложение могло просто установиться на любой S60v3-смартфон, его надо подписать у Symbian или партнеров. Это осуществляется за деньги (кроме некоторых исключительных случаев), а программа подвергается ряду серьезных тестов на работоспособность и безопасность. Таким образом, никакое вредоносное ПО и даже плохо работающие приложения не пройдут специальные испытания. Хорошая идея, не правда ли? Нет необходимости защищать девайс от вирусов, поскольку их можно исключить еще на стадии создания.
Зачем тогда антивирусы?
А затем, что у обычного пользователя есть психологическая необходимость их устанавливать на новый смартфон, ведь на домашнем компьютере эту программу приходится ставить даже раньше, чем настраивается локальная сеть. Кроме того, смартфоны предыдущего поколения все еще пользуются популярностью, да и некоторые сравнительно новые модели работают на Symbian 8. По этой причине вирусописатели не дремлют и выпускают свежие программы, о которых громогласно сообщают производители антивирусов. Правда, крайне редко уточняется, что эти самые вирусы актуальны только для Symbian 8.
Единственный вирус для Symbian 9
Представители компании сообщают, что первый релиз FlexiSPY, приложения, разработанного для слежения за происходящим вокруг и внутри смартфона (звонки, сообщения, смена SIM-карты и так далее), не предупреждал о возможностях программы, поэтому пользователь потенциально мог стать жертвой мошенников. Проблема была моментально решена со стороны Vervata, но программа все еще считается опаснейшим и единственным вирусом для Symbian 9, даже несмотря на официальный сертификат Symbian.
И все-таки они существуют
Наверняка некоторым эта инструкция покажется слишком сжатой. Попробуем все объяснить.
Особенности сертификации вирусов
Программ для смартфонов должно быть много. Вряд ли кто-то с этим поспорит. Nokia также не собирается этого делать и всеми возможными способами содействует пополнению каталога программ для S60v3-девайсов. Производитель предлагает начинающим компаниям и даже простым программистам множество бесплатных способов погружения в мир программирования для Symbian. Естественно, написанные приложения надо тестировать, причем не только на программных эмуляторах, но и на настоящих устройствах. Но ведь чтобы установить программу, надо ее подписать. Для этих целей существует упрощенный процесс подписи. Фактически любой желающий может скачать ряд приложений, зарегистрироваться на нескольких сайтах и выписывать ограниченное количество сертификатов в определенный период и для определенных устройств, наделяя их определенными полномочиями. Как видите, этот процесс очень ограничен. Фактически каждая программа сможет работать только на том телефоне, IMEI которого указан при выписывании сертификата. Именно поэтому злоумышленники и просят пользователей самих подписать вирус, установить его и запустить.
Не все вирусы одинаково опасны
Последний нюанс, связанный с самосертификацией. Любители варезных ресурсов (если таковые дочитали текст до этих строк, а не побежали отмечать в комментариях неграмотность автора) могут возразить, что не раз сами себе выписывали сертификаты и никакими вирусами не заразились. Да, такое тоже может быть. Дело в том, что после взлома программы выписанный сертификат не соответствует оригиналу. Соответственно, ее нельзя установить без нового сертификата. Поэтому множество приложений на подобных ресурсах могут требовать подпись. Насколько это безопасно — решать вам.
Java-вирусы
В мире Java-программ все намного сложнее. С одной стороны, ПО подобного типа строго ограничено возможностями платформы и установленными Java-профилями. Изначально мидлеты работали в специально выделенной области памяти и при всем желании программиста и даже пользователя не смогли бы сделать ничего плохого. В современных телефонах имеются профили для доступа к функциям аппарата, Bluetooth, SMS и многим другим, что потенциально опасно и допускает возможность появления вирусов. Но вместе с наделением Java-интерпретатора функционалом производители наделяют его и ограничивающими средствами. Как только программа (даже самая полезная и качественная) пытается получить данные вне локальной памяти, пользователь моментально узнает об этом посредством соответствующего сообщения. Чаще всего пользователю приходится отвечать на каждый запрос программы к ресурсам телефона. Это раздражает, но гарантирует осведомленность о действиях, происходящих внутри любимого гаджета.
Итоги
У вас все еще стоит 30-дневный триал F-Secure Mobile Anti-Virus? Зря. Предлагаем его удалить и забыть о вирусах для вашего замечательного смартфона. Ну и не принимайте ничего по Bluetooth от незнакомых людей, не открывайте непонятные вложения в спам-письмах и, конечно, не пользуйтесь варезными ресурсами. Почему, спросите вы, вирусов ведь не бывает? Все просто: так безопаснее, поскольку злых компьютерных гениев никто не отменял.
Большинство пользователей уверено, что вирусов для Symbian нет. Многие слышали, что есть несколько вирусов, но их крайне сложно подцепить. Ну и очень малая часть юзеров панически боится вирусов, они уверены, что каждая вторая программа для Symbian – злобный вирус. В этой статье я расскажу вам, что знаю, о вирусах для Symbian OS и ознакомлю со списком вирусов для Symbian 6-8 и Symbian 9.*. Так же отвечу на самый главный вопрос – ставить или не ставить антивирус на смартфон с Symbian OS.
Так они существуют или нет?
Да, они существуют. И их не один – два, а около 20. Правда, большинство было написано еще под старые версии Symbian (v.6.*), и не обновлялись. Поэтому если у вас давно устаревший смартфон, то шанс заражения выше, как это не парадоксально. Вирусы для Symbian 6 никуда не делись, не надо думать, что они исчезли.
Список вирусов для Symbian 6-7-8:
Appdisabler (Заменяет несколько системных приложений на неработающие аналоги)
Cabir (Описывался выше)
Cardtrp (Заражал Symbian-смартфон и компьютер. Получал доступ к карте памяти и записывал на нее несколько файлов-червей и файл автозапуска. Когда пользователь запускал зараженный файл, вирус мог перемещаться с телефона на ПК и обратно)
Comwarrior (Описывался выше)
Fontal (Описывался выше)
Hebrew/Ozicom (Меняет названия приложений на названия на иврите, иконки программ становятся битыми)
Hobble (Маскируется под антивирус Symantec. Блокирует запуск приложений)
Lasco (описывался выше)
Locknut/Gavno (Маскируется под новую прошивку для Symbian. Отключает все телефонные функции и рассылает себя по Bluetooth. Сделан в России)
Mobler (Заражал компьютер на Windows, когда пользователь открывал специальную папку на карте памяти)
Pbstealer (Копировал адресную книгу Symbian-смартфона в файл c:\system\mail\phonebook.txt. И рассылал этот файл всем по Bluetooth)
Red Browser (Троян маскировался под браузер, позволяющий бесплатно просматривать WAP-сайты. На самом деле он рассылал СМС стоимостью $5)
Skulls (описывался выше)
Onehop (Делает так, чтобы при нажатии на любую клавишу смартфон на Symbian перезагружается)
Blankfont (Удаляет все шрифты)
А что насчет вирусов на Symbian 9.X?
Список вирусов для Symbian 9.*:
Merogo (затронул только пользователей из Китая. Человек получает сообщение на китайском языке и ссылку. Пройдя по ссылке юзер скачивает программу-червь. Она рассылает такие же сообщения на номера из адресной книги)
MMS Bomber (Рассылает ММС в огромных количествах. Пострадал опять только Китай)
Серия вирусов ShadowSrv.A, FC.Downsis.A, BIT.NmapPlug.A (Встраиваются эти вирусы в игры и после установки в смартфон на Symbian 9 начинают рассылать спам)
Pan1ca (Описывался выше)
Cabir (Описывался выше)
А под Symbian^3 есть вирусы?
Именно для этой версии Symbian пока нет. Ключевое слово – пока. На Symbian^3 вполне могут запуститься несколько вирусов для Symbian 9.*.
Так надо ставить антивирус или нет?
Я выскажу сугубо мое личное и абсолютно неавторитетное мнение – если ваш смартфон с Symbian 6,7,8, то обязательно. Если с Symbian 9.* или ^3 – не надо. Пока не будет какого-нибудь бума вирусов для Symbian 9, пока о них не станут говорить на каждом мобильном сайте – ставить антивирусы на смартфоны с S9 и S^3 не обязательно. Я считаю, что пользователь Symbian 9 и ^3 вполне может сам себя обезопасить от вирусов. Они пока не настолько сильно заполонили наш мир. Ведь это не сложно, достаточно соблюдать банальные правила:
Скачивать программы только с авторитетных сайтов (они все выкладываемые файлы проверяют на наличие вирусов, по крайней мере, они так пишут)
Не заходить на стремные сайты с Symbian-смартфона (помниться так заражался когда-то iPhone)
Не переходите по ссылкам из сообщений. Переходите только если вы уверены, что это надежный адресат и вы ждали от него ссылку.
Коллекция вирусов для ОС Symbian
Итак,начнем:
Commwarrior
Commwarrior имеет русские корни. Этот червь заражает Symbian Series 60 телефоны. Он может распространяться как через Bluetooth, так и посредствам MMS сообщений. В настоящее время существуют две версии вируса: Commwarrior.A и Commwarrior.B. Они практически идентичны. Единственное различие в том, что Commwarrior.A выбирает способ распространения в зависимости от системного времени. Commwarrior.B этого не делает. В первом часу 14 числа каждого месяца вирус перезагружает устройство.
После того, как Commwarrior заразит телефон, он начинает искать другие устройства, которые он может достать через Bluetooth и шлет им зараженные SIS файлы. В целях маскировки эти файлы имеют произвольные названия.
Помимо рассылки через Bluetooth, Commwarrior сканирует адресную книгу телефона и производит рассылку MMS сообщений со вложенными SIS файлами. MMS - это мультимедийные сообщения. Они могут содержать не только медиа контент (рисунки, видео, звуки), но и любой другой файл, включая зараженную SIS программу.
Заменяет существующие на мобильном приложения их поврежденными копиями. После загрузки работа этих приложений будет невозможна. В качестве дополнительной функии удаляются инсталляторы вирусов Skulls, CommWarrior и Cabir. Помимо деструктивных действий непосредственно с мобильником, CardTrap записывает несколько вирусов для Windows на флеш-карточку, которая при подключении к незащищенному компьютеру поражает его.
Mosquitos
Данная программа не является троянской программой в истинном смысле данного определения.
Основной причиной, по которой данная игра была классифицирована как троянец, является наличие кода для скрытой рассылки SMS на определенные в коде номера без ведома пользователя.Программа представляет собой инсталляционный файл SIS размером около 140 КБ. В оригинальном виде имя файла - или , но в интернете также встречаются дистрибутивы с другими именами.
Программа широко распространена на общедоступных download-сайты, а также через некоторые P2P-сети.
Общее название и процедуры детектирования для разнообразных файлов, входящих в состав известных модификаций троянцев семейства Skuller.
Файлы, детектируемые как Skuller.gen, представляют собой два вида программ.
Первый, наиболее распространенный — это различные поврежденные или испорченные приложения, либо файлы-пустышки. Именно они устанавливаются в ходе работы Skuller вместо имеющихся системных приложений, тем самым выводя телефон из строя.
Второй вид — это несколько программ, осуществляющих перезагрузку телефона. Все они также являются неотъемлемой частью известных вариантов Skuller. Такие программы могут быть установлены троянцем в режим автозапуска, что приводит к постоянной перезагрузке телефона.
DoomBot
A представляет собой первого известного троянца, распространяемого совместно с вирусом CommWarrior.B, плюс к этому подчеркивается непривычный способ уничтожения данных. Doomboot.A предотвращает перезагрузку смартфона, а вирус CommWarrior.B генерирует постоянный Bluetooth-трафик, в результате чего заряд батарей снижается до нуля менее чем за час. Последующая перезагрузка телефона или принудительное выключение и включение телефона приводит к запуску команды форматирования, при этом аппаратная часть остается неповрежденной, но теряются все данные. Единственный способ спасения данных и борьбы с этой напастью - "дезинфицировать" ПО прежде чем аккумулятор полностью не разрядился.Как и все другие троянцы, Doomboot.A не может распространяться самостоятельно, поэтому создатели трояна маскируют его под пиратскую копию Symbian-игрушки (пока известны случаи маскирования под Doom 2, но полагаю, что этим явно не ограничится), доступную для скачивания на некоторых сайтах. Сложность идентификации трояна заключается в том, что установка Doomboot.A выглядит как неудачная инсталляция игрушки, при этом вирус Commwarrior.B, разумеется, не имеет иконки и не виден в списке выполняемых процессов.
RedBrowser
Троян получил название Redbrowser.a и маскируется под приложение, позволяющее посещать WAP-сайты без необходимости настройки WAP-подключения. Для этого, по утверждениям авторов вредоносной программы, якобы используются некие сервисы бесплатной отправки и приема коротких сообщений (SMS). Однако на самом деле, попав на мобильник, Redbrowser.a начинает пересылать SMS через платные мобильные сервисы. Причём за каждое такое послание со счета владельца инфицированного аппарата снимается 5-6 долларов США.
Redbrowser.a изначально упакован в архив в формате JAR размером 54482 байта, содержащий несколько файлов. Заражение может происходить при загрузке программы из интернета, с компьютера или через беспроводную сеть Bluetooth.
Впрочем, удалить вредоносную программу можно без особого труда при помощи стандартных утилит мобильника.
Несмотря на то, что пока обнаружен только один образец RedBrowser, компания "Лаборатория Касперского" подчеркивает, что в интернет с большой вероятностью уже выложены другие варианты подобных вредоносных программ. Поэтому владельцам мобильных телефонов рекомендуется не загружать неизвестные приложения с сомнительных сайтов.
Ozicom
После установки меняются иконки, все надписи под ними на иврите.
[
Symbos_skulls.h
Очередной подарок владельцам КПК от вирусописателей - троян SymbOS/Skulls, ориентированный на смартфоны Nokia. Распространяется он под видом "Менеджера Тем".
Заразив КПК, троян заменяет иконки приложений на собственную, с изображением черепа. Сами приложения при этом перестают запускаться - ни осуществить звонок, ни скачать или отправить какую-либо информацию также становится невозможно. Восстановить работоспособность телефона при этом удастся, только в случае, если на смартфоне уже установлен файловый менеджер от стороннего разработчика.
В противном случае лечение возможно только одним способом - переустановкой всего содержимого смартфона с полной потерей пользовательских данных.
К счастью троян не распространяется по BlueTooth, и единственный способ заразить свой КПК им - неразборчивое скачивание программного обеспечения с сайтов сомнительной репутации и складов shareware и freeware-программ.
Fontal
Троянская программа для мобильных устройств под управлением операционной системы Symbian.Данный троянец распространяется под видом антивирусной программы Nokia Anti-Virus.После его подтверждения пользователем происходит распаковывание следующих файлов:
HidMenu
Портит флешку,в смарте
Существенного деструктивного функционала у вредоносной программы обнаружено не было. Но тем не мене после установки вируса он постоянно находится и функционирует в памяти телефона и тем самым может вызвать не стабильную работу мобильного аппарата.
Первый червь для сотовых телефонов, размножающийся при помощи MMS.
Работает на телефонах под управлением ОС Symbian Series 60.
Исполняемый файл червя упакован в установочный архив Symbian (SIS). Размер архива — 27-30КБ. Название файла может варьироваться; в частности, передавая себя по Bluetooth, червь генерирует произвольное имя файла длиной 8 символов, например bg82o_s1.sis.
Инсталляция
После запуска архив распаковывается в systemappsCommWarrior:
systemappsCommWarriorcommwarrior.exe
systemappsCommWarriorcommrec.mdl
Запущенный файл commwarrior.exe в свою очередь копирует эти файлы и оригинальный архив в директорию systemupdates:
systemupdatescommwarrior.exe
systemupdatescommrec.mdl
systemupdatescommw.sis
Размножение
Червь распространяется двумя способами: по Bluetooth и по MMS.
После запуска червь инициирует поиск доступных через Bluetooth устройств и передает на них зараженный SIS-архив с произвольным именем. Для его открытия (и заражения телефона) необходимо несколько раз подтвердить прием файла.
Червь содержит в себе текст:
CommWarrior v1.0b (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute
it in it”s original unmodified form.
OTMOP03KAM HET!
Троянская программа, поражающая мобильные телефоны, работающие под управлением операционной системы Symbian. Троянец заменяет неработающими или поврежденными файлами различные антивирусные программы.
Представляет собой приложение для операционной системы Symbian — инсталляционный SIS-архив.
Файл может иметь имя Symbian_Anti-Virus.SIS. Размер — 27362 байт.
Инсталляция
При запуске троянец устанавливает в телефон следующие файлы:
ApMIME.dll (8620 байт)
systemappsAbout SymbianAV.txt (673 байта)
Содержимое следующих каталогов перезаписывается, если каталог не существовал, то он создается:
systemappsAnti-Virus
systemappsAntiCommWarrior
systemappsAntivirus
systemappsAppMngr
systemappsCabirFix
systemappsCalvinStinger
systemappsDecabir
systemappsDisinfect
systemappsefileman
systemappsEVS
systemappsF-Secure
systemappsFCommwarrior
systemappsFExplorer
systemappsKaspersky
systemappsKLAntivirus
systemappsMAV
systemappsmobilesecurity
systemappsNEWFILESCAN
systemappsProfiMail
systemappsSmartFileMan
systemappssymcs
systemappssymlu
systemappsSystemExplorer
systemappsTrendMicro
systemappsvirem
systemappsvirusguard
systemappsVirusScan
В каждом каталоге создается файл с именем каталога и расширением app. Данные файлы имеют размер от 3 до 12 байт и неработоспособны. Таким образом, троянец пытается вывести из строя указанные антивирусные программы.
Symbian Anti-Virus
Version 1.10
Copyright й2006 Symbian Ltd.
* Phone Protection *
Worm.SymbOS.Lasco.a – червь для карманных компьютеров и сотовых телефонов, работающих под управлением Symbian OS. Кроме того, это первый вирус, заражающий исполняемые файлы (в частности, SIS-архивы) для данной платформы.
Вирус написан автором последних версий Symbian-червя Worm.SymbOS.Cabir и основан на его коде, поэтому процедура размножения посредством BlueTooth не отличается от таковой в случае с Worm.SymbOS.Cabir.
Помимо функции BlueTooth-червя, вирус также содержит функцию заражения файлов. При запуске он сканирует диск в поисках SIS-архивов, а найденные файлы пытается заражать посредством внедрения своего кода внутрь архива.
Вирус представлен в двух вариантах: приложение для платформы Win32, заражающее найденные SIS-файлы, и приложение для платформы Symbian.
velasco.sis, размер 15750 – основной файл вируса
sisinfect.exe, размер 69632 – инфектор, работающий в Windows. Сканирует локальные диски в поисках SIS-архивов, найденные пытается заражать, внедряя в них содержимое velasco.sis.
marcos.sis, размер 1579 – содержит модуль marco.mdl, устанавливающий velasco.sis в автозагрузку системы Symbian.
Вирусные файлы располагаются в следующей директории мобильного устройства:
Файл автозагрузки находится здесь:
Первый сетевой червь, распространяющийся через протокол Bluetooth и заражающий мобильные телефоны, работающие под управлением OS Symbian.
Из-за большого количества подобных телефонов различных производителей, пока не представляется возможным указать все подверженные заражению модели, однако с полной уверенностью можно говорить о Nokia 3650, 7650 и N-Gage.
Потенциально заражению могут оказаться подвержены все мобильные телефоны, использующие платформу Symbian.
FOMA F2051
FOMA F2102V
FOMA F900i
Motorola A920
Motorola A925
Nokia 3650/3600
Nokia 3660/3620
Nokia 6600
Nokia 7610
Nokia 7650
Nokia 9210 Communicators
Nokia 9290 Communicator
Nokia N-Gage
Nokia N-Gage QD
Sendo X
Siemens SX1
Sony Ericsson P800
Sony Ericsson P900
Ericsson R380 World Smartphone
Ericsson R380e Smartphone
Ericsson R380sc Smartphone
Psion 618C and 618S
Psion Revo and Revo Plus
Psion Series 5mx
Psion Series 7 and netBook
В настоящий момент известны две версии данного червя, отличающиеся только наличием строчки “VZ/29a” в выводимом на экран тексте Window Alert.
Червь представляет собой файла формата SIS, caribe.sis. Размер файла – 15092 байт (или 15104 байт).
Данный файл содержит в себе несколько объектов:
caribe.app: размер 11932 байт (или 11944 байт)
flo.mdl: размер 2544 байт
caribe.rsc: размер 44 байта
Инсталляция
При запуске червь выводит на экран сообщение “Caribe” (или “Caribe – VZ/29a”):
И затем инсталлирует себя в различные каталоги:
с:systemappscaribecaribe.app
с:systemappscaribeflo.mdl
с:systemappscaribecaribe.rsc
C:SYSTEMSYMBIANSECUREDATACARIBESECURITYMANAGERCARIBE.SIS
C:SYSTEMSYMBIANSECUREDATACARIBESECURITYMANAGERCARIBE.APP
C:SYSTEMSYMBIANSECUREDATACARIBESECURITYMANAGERCARIBE.RSC
C:SYSTEMRECOGSFLO.MDL
Каталог “SYMBIANSECUREDATA”, создаваемый червем, является скрытым и не виден пользователю зараженного телефона.
В случае удаления файлов червя из каталога “APPS”, червь будет продолжать свою работу в системе.
При каждом включении зараженного телефона червь получает управление и начинает сканировать список активных Bluetooth-соединений. Затем червь выбирает первое доступное соединение из списка и пытается передать туда свой основной файл “caribe.sis”. В этом случае у пользователя принимающего телефона на экран выводится сообщение:
В случае, если пользователь подтвердит прием файла, то его телефон примет зараженный файл и предложит запустить его на исполнение (зависит от модели телефона):
Червь не содержит никакой побочной функциональности, кроме саморазмножения. Однако зараженный телефон может работать нестабильно, из-за постоянного наличия червя в памяти и его попыток сканирования активных Bluetooth-устройств.
Удаление червя
“Лаборатория Касперского” разработала специальную утилиту для удаления Cabir.a с зараженного мобильного устройства под управлением ОС Symbian.
В настоящее время утилита работает с телефонами Nokia 3650, 6600 и Siemens SX1. Утилита также способна работать на Nokia N-Gage и Sony Ericsson P900, хотя тестирование на этих аппаратах не проводилось.
| Доп. информация | |