Вирусы и как с ними бороться Первое правило при подозрении на заражение:
НИ В КОЕМ СЛУЧАЕ НЕ ПЕРЕЗАГРУЖАЙТЕ ТЕЛЕФОН!
Станет только хуже, проверено на опыте. Сразу хвататься за код *#7370# тоже не стоит.
Второе правило: наличие файлового менеджера (вроде ProfiExplorer или X-Plore) ОБЯЗАТЕЛЬНО. В крайнем случае возьмите у кого-нибудь карточку с установленным ФМ и воспользуйтесь ей.
1.)
Cabir Это один из первых вирусов для смартов,
практически безобиден и убивается легко. Если батарея вашего телефона стала подозрительно быстро разряжаться, bluetooth и сообщения глючат, смарт тормозит - возможно, у вас кабир. К тому же этот вирь способен самостоятельно включать bluetooth и передавать себя на другие телефоны. Убить вирус довольно просто: достаточно удалить все файлы из папок с:/system/symbiansecuredata/caribesecuritymanager, c:/system/recogs и {drive}/apps/caribe
2.)
Symbian Skulls Этот вирус посерьезнее предыдущего и последствия его действий весьма неприятны.
После установки вирус портит почти все системные программы и заменяет иконки на череп (отсюда и название). Если перезагрузить телефон, вирус добавится и в другие папки и будет еще хуже. Но ликвидировать Skulls также несложно: через файловый менеджер удаляете 2 файла: appinst.aif и appinst.app, затем находите где-нибудь антивирус F-Secure и лечите им.
3.)
Ozicom 7650 Hebrew. Это - самая неприятная вещь.
Изначально это был языковой пакет (заменяющий язык телефона на иврит) для смарта 7650 (первый нокиевский смарт). Потом пакет слегка модифицировали и он превратился в опаснейший вирус, способный довести телефон до такого состояния, что спасет его только перепрошивка. После установки вируса, как и в случае с Symbian Skulls, страдают стандартные программы. Зайти во многие из них становится невозможно. Главное - не перезагружаться, иначе вирус заработает на 100%. Код *#7370# набирать бесполезно - вирус блокирует этот код. *#7780# тоже блокируется. Убивается вирь так:
1.) Заходите в файловый менеджер, в папку {drive}/apps и удаляйте все папки, название которых начинается с нижнего прочерка (_).
2.) Заходите в диспетчер приложений и удаляете 2 программы с названием Ozicom 7650. Все. Если же вы перезагрузили смарт, вирус станет работать в полную силу. Но способ убиения такой же. Один нюанс: прога ProfiExplorer блокируется вирусом и работать не будет. Используйте Fileman или X-Plore (или любой другой аналог).
4)
CommWarrior Специалистами антивирусной компании F-Secure был обнаружен новый вариант мобильного вируса
Commwarrior, жертвами которого становятся смартфоны на базе платформы Series 60. Новинка, получившая название
Commwarrior.C, пришла на смену уже известным вариантам
Commwarrior.A и
Commwarrior.B, и обладает возможностью самостоятельного распространения посредством беспроводных Bluetooth -соединений, а также мультимедийных сообщений MMS, в значительной степени повышая риск заражения. После заражения мобильного устройства,
Commwarrior.C обращается к его адресной книге, отправляя инфицированные MMS сообщения на все обнаруженные там номера. Кроме того, новый вариант вируса проверяет список входящих SMS сообщений, отправляя в ответ на каждое входящие также инфицированное MMS сообщение, содержащее тело вируса вдобавок к оригиналу полученного текста, уменьшая тем самым риск быть обнаруженным. Однако и это не все возможности вируса.
Commwarrior.C также создает собственные копии на карте флэш-памяти, имеющейся в устройстве, значительно повышая риск быть перенесенным на другой смартфон. И все же вне зависимости от способа попадания на смартфон начало функционирования вредоносной программы следует лишь после подтверждения владельцем смартфона факта установки определенного приложения (в частности были обнаружены варианта вируса, маскирующегося под пиратскую версию SymCommander), под которое маскируется
Commwarrior.C. Подтверждение же инсталляции ведет к изменению логотипа оператора (возможно появление надписи "Infected by CommWarrior"), а также открытию веб-страницы, размещенной на российском сервере, и позиционирующей вирус в качестве средства защиты от антивирусных решений. Лечится, как вы поняли, F-Secure.
5) Русский вирус,
Gavno.A Новый вирус-троянец полностью выводит из строя мобильные телефоны на базе ОС Symbian v.7. Об этом сообщила компания SimWorks, занимающая разработкой антивирусного программного обеспечения.Вирус, получивший кодовое название
Gavno.a, в отличие от своих предшественников вызывает более серьезные последствия, чем просто отключение каких-либо кнопок или функций. Телефон, зараженный этим вирусом, становится полностью непригодным к использованию. Вредоносный 2-килобайтный код вызывает нестабильную работу операционной системы, отключая абсолютно все приложения, и в некоторых случаях приводит к постоянной перезагрузке телефона. Такое поведение делает восстановление работоспособности аппарата крайне затруднительным.Опасности заражения подвержены телефоны на платформе Series 60 (Nokia 6600, Nokia 7610), в то время как телефоны на платформе UIQ (среди них популярные SonyEricsson P900/910 и Motorola A925/1000), а также использующие версию Symbian v.6.x, вирусом не поражаются. Сам процесс активации вируса происходит после запуска файла patch.sis, который маскируется под набор исправлений ошибок для ОС телефона. А появившийся несколько позже версия
Gavno.b может также рассылать свои копии через Bluetooth. Лечится Kaspersky Mobile Antivirus и F-Secure.
6)
Metal Gear Gold - коллекция вирусов.
Новый "телефонный" вирус маскируется под игру. Вредоносный код, скрывающийся под личиной мобильной версии игры
Metal Gear Gold, весьма опасен, поскольку перед началом процедуры инфицирования телефона и своего распространения отключает антивирусное ПО. При инсталлировании на смартфоне файла
METAL Gear.sis вирус отключает антивирусное ПО, установленное на телефоне, все проводники файлов и ряд других приложений. Затем на телефон инсталлируется
Cabir.G - один из вариантов троянца
Skulls. После инсталляции троянец начинает через порт Bluetooth искать другие телефоны, которые можно также инфицировать. Обнаружив подходящий, он направляет на него файл
SEXXXY.sis. Если владелец телефона не заблокирует пересылку файла, вирус «отключает» работу кнопки "выбор" (select) на телефоне. Компании, специализирующиеся на разработке антивирусов и обеспечении безопасности, немедленно приступили к поиску средств борьбы с новой напастью. Компания Symworks выпустила новую версию своей антивирусной программы для платформы Series60, в которой есть средства борьбы с новым троянцем. Компания F-Secure обнародовала ряд сведений о новом вирусе. При этом компания отмечает широкую популярность данной платформы и рост числа мобильных устройств на ее основе – на сегодня таковых в мире насчитывается более 20 млн. По данным компании, в минувший вторник появились новые версии вирусов
Skulls.C, Cabir.F и Cabir.G. Кроме того, специалисты F-Secure утверждают, что новый вирус не может отключить ее собственную защиту. Лечим Kaspersky Mobile Security, F-Secure.
Владельцы простых телефонов с удовольствием погладили пузо, потому что нет Java-Вируса. Хрен вам, ибо...
7)
RedBrowser "Троян", получивший название
RedBrowser, представляет собой JAVA-приложение: он может быть загружен на телефон как из Интернета, так и другими способами - через Bluetooth-соединение или с персонального компьютера. Вирус маскируется под программу, позволяющую посещать WAP-сайты без необходимости настройки WAP-подключения. Такая возможность достигается за счет отправки и приема бесплатных SMS-сообщений. "Троян" же рассылает SMS на некоторые платные мобильные сервисы. За каждое подобное сообщение со счета пользователя снимается 5-6 долларов. Таким образом, почти моментально на счету абонента не остается средств. При этом экспертs утверждае., что создать антивирусную программу для таких телефонов практически невозможно, и владельцам мобильников остается лишь проверять все загружаемые файлы на компьютере.
8)
SEXXY.a Это часть вируса
METAL Gear.a, которая использует механизм распространения вируса
Cabir.c (является первым трояном, способным распространять себя на другие телефоны через Bluetooth-соединение.)
После установки
METAL Gear.a - появляется иконка игры. При её запуске происходит активация вируса
Cabir.c, который начинает искать Bluetooth устройства по близости, а затем отсылает на них файл
SEXXXY.sis. И если подарочек принят, то файл
SEXXXY.sis блокирует кнопку выбора приложений на смартфоне.
9)
Mobler Mobler - это кросс-платформенный вирус, способны перемещаться между компьютером и вашим мобильным устройством, если быть более точными, то Mobler перемещается между Symbian и Windows платформами. Нужно отметить, что для Symbian устройств данный вирус не очень опасен, он просто копируется на карту памяти и ждет своего часа, чтобы добраться до компьютера. Mobler просто создает инсталляционный Symbian файл. Выглядит
Mobler как обычная системная папка, а когда пользователь открывает эту папку, то происходит заражение КП, на котором вы эту папку открыли. Так что дорогие пользователи будьте осторожней
F-Secure заявила об обнаружении вирусов
Drever.B, Drever.C и Skulls.F, которые поражают смартфоны под управлением Symbian OS.
По заявлениям кампании Drever.B является упрощенной версией Drever.A и повреждает только антивирусные программы. Похоже, что данный вирус появился первым, но был зафиксирован позднее. Вирус
Skulls.F обнаружается стандартными антивирусами с 15 декабря 2004 и не представляет серьезной опасности. Особый интерес вызывает вирус
Drever.C, который помимо атак на антивирусы Касперского и Simworks Symbian также затрагивает и антивирусный пакет F-Secure.
Drever.C пытается повредить загрузочные данные и бинарные файлы антивируса. Но последний защищен от подобных атак.
При открытии файла вируса в HEX редакторе можно прочесть следующие строки:
«FSECURE МАСТ ДАЙ!!!!!! Пожалуйста, не создавайте новых антивирусов против моих вирусов, и я перестану писать вирусы для ваших антивирусов. Моя цель – Simworks!»
10)
Trojan-Spy.SymbOS.Pbstealer.a Файл может иметь имя pbexplorer.sis. Размер — 10 KB.
При запуске троянец инсталлирует файл pbexplorer.app в следующий каталог:
с:\system\apps\pbexplorer\ Файл pbexplorer.app является исполняемым файлом формата EPOC и имеет размер 10212 байт. Это основной файл троянца.
Файл содержит в себе текстовую строку:
Good artist copy, great artist steal ... Сразу после инсталляции данный файл запускается на исполнение. Это сопровождается информационным окном со следующим текстом:
Phone Book
Compacting
by: lajel 202u
please wait... После запуска троянец выводит на экран различные информационные окна с сообщениями о том, что производится работа по оптимизации адресной книги телефона. На самом деле происходит поиск всех контактов в телефоне и их копирование в файл
c:\system\mail\phonebook.txt. Затем троянец пытается обнаружить любое доступное Bluetooth-устройство и передать на него данный файл.
Таким образом, данные из адресной книги зараженного телефона могут быть получены третьими лицами.
11)
Worm.SymbOS.Lasco.a Червь для карманных компьютеров и сотовых телефонов, работающих под управлением Symbian OS. Кроме того, это первый вирус, заражающий исполняемые файлы (в частности, SIS-архивы) для данной платформы.
Вирус написан автором последних версий Symbian-червя
Worm.SymbOS.Cabir и основан на его коде, поэтому процедура размножения посредством BlueTooth не отличается от таковой в случае с
Worm.SymbOS.Cabir.
Помимо функции BlueTooth-червя, вирус также содержит функцию заражения файлов. При запуске он сканирует диск в поисках SIS-архивов, а найденные файлы пытается заражать посредством внедрения своего кода внутрь архива.
Вирус представлен в двух вариантах: приложение для платформы Win32, заражающее найденные SIS-файлы, и приложение для платформы Symbian.
velasco.sis, размер 15750 - основной файл вируса
sisinfect.exe, размер 69632 - инфектор, работающий в Windows
. Сканирует локальные диски в поисках SIS-архивов, найденные пытается заражать, внедряя в них содержимое
velasco.sis.
marcos.sis, размер 1579 - содержит модуль
marco.mdl, устанавливающий
velasco.sis в автозагрузку системы Symbian.
Вирусные файлы располагаются в следующей директории мобильного устройства:
C:\\SYSTEM\\SYMBIANSECUREDATA\\VELASCO\\ Файл автозагрузки находится здесь:
C:\\SYSTEM\\RECOGS\\MARCOS.MDL
12)
Trojan.SymbOS.Appdisabler.a Размер — 31 КБ
Инсталляция
При запуске троянец инсталлирует в телефон следующие файлы (всего 53):
/raghu.txt (275 байт)
\Images\raghu.txt (275 байт)
\Images\raghu crack.jpg (12554 байт)
\system\apps\0A-RAGHU.txt (201 байт)
\system\apps\RAGHU\raghu.app (6864 байт)
\system\apps\RAGHUMenu\raghumenu.app (5332 байт)
\system\apps\RAGHUMenu\raghumenu.rsc (60 байт)
\system\apps\RAGHUMenu\RAGHUMenu_caption.rsc (28 байт)
(Содержимое следующих каталогов перезаписывается, если каталог не существовал, то он создается):
system\apps\AD7650
system\apps\AnswRec
system\apps\BlackList
system\apps\BlueJackX
system\apps\callcheater
system\apps\CallManager
system\apps\Camcoder
system\apps\camerafx
system\apps\ETICamcorder
system\apps\ETIMovieAlbum
system\apps\ETIPlayer
system\apps\extendedrecorder
system\apps\FaceWarp
system\apps\FExplorer
system\apps\FSCaller
system\apps\Hair
system\apps\HantroCP
system\apps\irremote
system\apps\Jelly
system\apps\KPCaMain
system\apps\Launcher
system\apps\logoMan
system\apps\MIDIED
system\apps\mmp
system\apps\Mp3Go
system\apps\Mp3Player
system\apps\photoacute
system\apps\PhotoEditor
system\apps\Photographer
system\apps\PhotoSafe
system\apps\PhotoSMS
system\apps\PVPlayer
system\apps\RallyProContest
system\apps\realplayer
system\apps\RingMaster
system\apps\SmartAnswer
system\apps\SmartMovie
system\apps\SmsMachine
system\apps\Sounder
system\apps\sSaver
system\apps\SystemExplorer
system\apps\UltraMP3
system\apps\UVSMStyle
system\apps\WILDSKIN
В каждом каталоге создается файл с именем каталога и расширением app. Данные файлы имеют размер 6 байт и неработоспособны. Таким образом, все приложения, которые были перезаписаны троянцем, перестают работать, что приводит к нарушению функционирования телефона.
Файл
raghu.txt содержит следующий текст:
----R A G H U----
VIRUS BORN IN SURAT(GUJRAT/INDIA/ASIA).
THE NAME OF THIS VIRUS IS RAGHU....
U KNOW WHY....????????
BECAUSE I LIKE VASTAV MOVIE AND SANJU BABA.
U LIKE THIS VIRUS?
SO MANY SOFTWARE CRACKS AND VIRUS AVAILABLE SOON....
RAGHU NAM HE RAGHU...
Файл 0A-raghu.txt содержит следующий текст:
MY NAME IS -----R A G H U-----
FROM SURAT/GUJARAT/INDIA/ASIA/WORLD/HEVEN/
U LIKE THIS VIRUS?
HA.......HAHA............HAHAHA
WARNING-NEVER INSTALL RAGHU.SIS ITS HARMFULL FOR YOUR MOBILE
13)
Trojan.SymbOS.Hobble.a Распространяется в виде архива для операционной системы Symbian — SIS-архива. Размер файла архива — 36 КБ. Файл маскируется под антивирус Symantec (имя файла —
symantec.sis).
Программа работает только в Symbian OS версии 6.1.
После запуска создает следующие файлы:
\apps\FExplorer\FExplorer.aif
\apps\FExplorer\FExplorer.app
\apps\FExplorer\FExplorer.mbm
\apps\FExplorer\FExplorer.rsc
\apps\FExplorer\FExplorer_CAPTION.rsC
\apps\FExplorer\flo.mdl
\system\recogs\jjlas.mdl
\system\recogs\RecAppForge.mdl
\system\recogs\UltraMP3Rec.mdl
\system\recogs\recAutoExec.mdl При запуске архива SIS в систему устанавливается
FExplorer.app — поврежденное приложение FExplorer. После первой перезагрузки зараженного смартфона операционная система пытается запустить это приложение, что вызывает нарушение работы устройства. Заблокированными оказываются функции смартфона (запуск приложений и др.). На возможность приема и осуществления звонков вредоносная программа не влияет.
14)
Fontal Превзошел своих собратьев по вредоносности. Попасть программа на компьютер может только с согласия пользователя, загрузившего файл, Kill Saddam By OID500.sis, маскирующийся под очередную игру.
После ее запуска незадачливого владельца смартфона начинают преследовать неприятности, вирус отключает работу диспетчера программ и не дает возможности удалить его, или запустить программное обеспечение. Также он устанавливает в систему поврежденный файл шрифта и после перезагрузки устройство приходит в полностью нерабочее состояние. На сегодняшним день известен только один способ борьбы с Fontal - жесткая перезагрузка системы с утерей всех данных.
Сразу несколько антивирусных компаний зафиксировали появление необычной вредоносной программы, способной инфицировать и коммуникаторы под управлением операционной системы Symbian OS, и обычные Windows-компьютеры.
15)
Cardtrp Вирус проникает на смартфон либо в составе мультимедийного короткого сообщения MMS, либо посредством беспроводной связи Bluetooth. Попав на портативное устройство, Cardtrp заменяет файлы некоторых приложений, нарушая тем самым работу коммуникатора.
Затем вирус пытается получить доступ к флэш-карте памяти (если таковая установлена) и записать на нее ряд вредоносных файлов, в том числе компоненты червей Wukill, Berbew, иконку и файл автозапуска.
Если пользователь впоследствии вставит флэш-носитель в компьютерный карт-ридер и по неосторожности щелкнет по одному из исполняемых файлов, на машине будет открыт "черный ход". Кроме того, в ряде случаев вирус способен "перепрыгивать" с карты памяти на ПК самостоятельно через файл autorun.inf. Впрочем, вероятность этого невелика.
Червь Cardtrp представляет угрозу для владельце таких коммуникаторов, как Nokia 3600, Nokia 3620, Nokia 6600, Nokia 6620, Nokia 7610, Nokia 7650, Nokia N-Gage, Panasonic X700, Sendo X, Siemens SX1 и некоторых других. Вероятнее всего, "гибридный" червь представляет собой концептуальную вредоносную программу, разрабатывавшуюся с целью демонстрации возможности одновременного заражения смартфонов и компьютеров. Тем не менее, отмечают эксперты, нельзя исключать вероятности того, что вслед за
Cardtrp последуют намного более опасные черви с аналогичными возможностями.
16)
Trojan.SymbOS.Mosquit.a Основной причиной, по которой данная игра была классифицирована как троянец, является наличие кода для скрытой рассылки SMS на определенные в коде номера без ведома пользователя.
Данная игра работает под управлением OS Symbian.
Программа представляет собой инсталляционный файл SIS размером около 140 КБ. В оригинальном виде имя файла -
<Mosquitos Cracked by Soddom.sis> или
<Mosquitos Cracked by Soddom V2.0.sis>, но в интернете также встречаются дистрибутивы с другими именами.
Программа широко распространена на общедоступных download-сайты, а также через некоторые P2P-сети
В установленном виде имеет имя
<Mosquitos.app> и размер 261,6 КБ.
Bootton.E-Вирус одновременно перезагружает операционную систему телефона и запускает поврежденные компоненты, из-за чего происходит сбой, и система выходит из строя.
Pbstealer.D-рассылает через Bluetooth записи из телефонной книги, блокнота и списка задач заражённого телефона пользователям, находящимся поблизости
Sendtool.A-рассылает программы вроде
Pbstealer на другие телефоны также посредством Bluetooth.
Locknut.B-полностью парализует работу мобильного телефона. Очистить аппарат от вредоносной программы после заражения можно только с помощью специальной «дезинфицирующей» программы. Проникнув в мобильный телефон, вирус вызывает крах в работе системных компонентов, поэтому запустить ни одно из телефонных приложений не удается. Этот троян превращает мобильник в ненужную игрушку.
Кроме того,
Locknut.B приходит не один, а со своим дружком — вирусом
Cabir.V. Но
Cabir является довольно беспомощным, поскольку не имеет механизмов самозапуска.
- участник сейчас на форуме
- участник вне форума