Смартфонам угрожает первый вирус
15 июня 2004

По сотовым сетям начинает распространяться первый сетевой червь под названием Cabir, заражающий мобильные телефоны под управлением операционной системы Symbian OS, на базе которой работает большая часть представленных сегодня на рынке смартфонов. Однако, по словам разработчиков антивирусных программ, владельцам мобильников пока рано бить тревогу: на данный момент каких-либо деструктивных функций в Cabir не обнаружено, не зарегистрировано пока и заражений, вызванных первым вирусом для «умных» телефонов.

Как сообщают представители «Лаборатории Касперского» (именно они дали имя новому червю), предположительно, Cabir, был создан вирусописателем, известным под псевдонимом Vallez, который принадлежит к международной группировке 29A, специализирующейся на создании концептуальных вредоносных программ. Ранее эта группа «прославилась» авторством таких печально известных вирусов-"первопроходцев", как Cap (первый макро-вирус, вызвавший глобальную эпидемию), Stream (первый вирус для дополнительных потоков NTFS), Donut (первый вирус для платформы.NET), Rugrat (первый вирус для платформы Win64). Вирусописатели разослали копии вируса различным антивирусным компаниям; видимо, их конечной целью было лишь создание работающей версии первого вируса для мобильников, а не массовая его эпидемия. Однако плодом их творчества могут воспользоваться другие злоумышленники, чтобы создать на его базе действительно вредоносные программы.

В ходе предварительного анализа кода вредоносной программы выяснилось, что Cabir доставляется на телефон в виде файла формата SIS (Nokia Phone Game File), маскируясь под утилиту для защиты телефона Caribe Security Manager. При запуске зараженного файла червь выводит на экран надпись Caribe, внедряется в систему и активизируется при каждой загрузке телефона. После этого Cabir сканирует доступные устройства, использующие технологию передачи данных Bluetooth, выбирает первый из них и пересылает ему свою копию.

Червь был создан специально для работы в Symbian OS для мобильных телефонов Nokia (например, серии 92x0). Однако не исключено, что Cabir также работоспособен и в телефонах и мобильных устройствах других производителей, отмечают в «Лаборатории Касперского». Напомним, что на данный момент уже насчитывается 18 смартфонов на базе Symbian, причем семь из них были представлены в этом году. Среди производителей, кроме Nokia, многие восточные производители (LG Electronics из Кореи, Arima из Тайваня, Lenovo из Китая). Нельзя забыть и Sony Ericsson со смартфонами P800 и P900.


CNews

Выпущен антивирус для первого "мобильного" червя
21 июня 2004

Базирующаяся в Брисбене (Квинсленд, Австралия) компания TSG Pacific выпустила антивирус для первого сетевого червя, заражающего коммуникаторы под управлением операционной системы Symbian OS.

Вредоносная программа Cabir, напомним, появилась ровно неделю назад. Вирус распространяется посредством беспроводной связи Bluetooth, инфицируя доступные устройства в зоне видимости. При этом червь маскируется под утилиту защиты смартфона Caribe Security Manager. По мнению представителей фирмы Nokia, Cabir разрабатывался исключительно с целью поднятия шумихи в прессе, поскольку никаких деструктивных функций вирус не несет. Тем не менее, сам факт появления червя для мобильников позволяет говорить о том, что вирусы начинают перекочевывать с компьютеров на телекоммуникационные устройства.

Что касается выпущенного компанией TSG Pacific пакета, то он совместим с коммуникаторами Nokia, Motorola и Sony на базе операционных систем Symbian OS. После запуска антивирус проверяет наличие Cabir в памяти аппарата, и в случае присутствия такового производит его удаление. Кроме того, программа посредством беспроводной связи загружает на смартфон обновление, предотвращающее повторное заражение устройства червем Cabir.


Компьюлента

"Мобильный" червь Cabir обнаружен в России в диком виде
14 января 2005

Компания "Лаборатория Касперского" сообщает о первом реальном случае заражения коммуникатора сетевым червем Cabir на территории России.

Вредоносная программа Cabir, напомним, была обнаружена в июне прошлого года. Червь, замаскированный под утилиту для защиты смартфона Caribe Security Manager, инфицирует портативные устройства, работающие под управлением операционной системы Symbian OS. После запуска Cabir пытается отыскать доступные через беспроводную связь Bluetooth аппараты и отправить на них свои копии. Каких-либо деструктивных действий вредоносная программа не выполняет, однако ее присутствие на смартфоне может стать причиной чрезмерно быстрого разряда аккумулятора вследствие постоянного использования Bluetooth-связи.

Первым носителем червя Cabir в России стал аппарат Nokia 7610. В целом, вредоносная программа обнаружена в диком виде уже в девяти странах - Филиппинах, Сингапуре, Арабских Эмиратах, Китае, Индии, Финляндии, Турции, Вьетнаме и России. Таким образом, отмечают в "Лаборатории Касперского", считавшийся ранее концептуальным сетевой червь уверенно распространяется по всему миру. Специалисты рекомендуют владельцам смартфонов с Symbian OS не использовать беспроводную связь Bluetooth в режиме "видимости для всех", не принимать файлы из неизвестных источников и инсталлировать на коммуникатор специальную утилиту для поиска и удаления Cabir, скачать которую можно отсюда.

Между тем, начало 2005 года ознаменовалось появлением первого гибридного вируса для портативных устройств с Symbian OS, способного распространяться сразу двумя способами. Во-первых, червь Lasco может попасть на коммуникатор под видом того или иного файла в формате SIS (Symbian Installation System), загруженного, например, из интернета. А во-вторых, Lasco, также как и Cabir, умеет эксплуатировать Bluetooth-связь. Причем после активации вирус внедряет свой код во все найденные на коммуникаторе SIS-файлы.

-----------------------------------

Найден опасный вирус, заражающий смартфоны с Symbian
12 января 2005

Сразу несколько антивирусных компаний сообщают о появлении новой вредоносной программы, инфицирующей портативные устройства под управлением Symbian. В отличие от обнаруженных в прошлом году червя Cabir и трояна Skulls, вирус Lasco способен распространяться сразу двумя способами - через инфицированные файлы в формате SIS (Symbian Installation System) и посредством беспроводной связи Bluetooth.

Червь Lasco имеет размер 12438 байт. После активации вредоносная программа создает на коммуникаторе несколько файлов и начинает поиск доступных через Bluetooth устройств. Впоследствии на смартфон-жертву отправляется копия вируса, однако заражение происходит только в том случае, если владелец подтверждает получение, обычно сопровождающееся диалоговым окном с текстом вроде "Receive message via Bluetooth from [device name]?", и затем запускает присланный файл. Кроме того, Lasco внедряет свой код во все найденные на коммуникаторе SIS-файлы.

Несмотря на то, что реальных случаев заражения в настоящее время зарегистрировано не было, специалисты компании F-Secure предупреждают, что злоумышленники могут попытаться распространить червя через те или иные сайты в интернете под видом игр или приложений. Таким образом, можно предположить, что вредоносная программа Lasco является концепт-вирусом. Однако, отмечают эксперты, до настоящего момента еще ни один вирус для портативных устройств не использовал сразу несколько способов размножения.

Компьюлента

25 января 2005

Gavno - первый вирус для мобильника, блокирующий возможность звонить

Антивирусная компания SimWorks объявила об обнаружении первой действительно серьезной угрозы для мобильных телефонов, работающих на платформе Symbian. Появившийся новый вирус нарушает функционирование мобильного телефона вплоть до того, что владелец аппарата не может с помощью него делать телефонные звонки. Ранее обнаружившиеся вирусы, например, троян Skulls, действовали более поверхностно, не задевая самую главную функцию телефона — звонки.
Новая угроза для мобильников пришла на этот раз, вероятно, из России. Об этом свидетельствует и само название вируса — Gavno.a. Видимо, в SimWorks не нашлось ни одного человека, знающего русский язык. Иначе бы неблагозвучное название вируса все-таки сменили на более пристойное. Файл с вирусом под названием patch.sis маскируется под специальную мини-программу — патч для мобильных телефонов. Новый троян размером всего 2 Кб является самым разрушительным и маленьким Symbian-трояном.

Как сообщил руководитель SimWorks Аарон Дэвидсон, вредоносная программа блокирует работу телефона, используя деформированный файл для нарушения работы внутренних процессов Symbian. Подобный прием был использован в обнаруженном в декабре трояне SEXXXY, но он блокировал только одну кнопку, а не весь аппарат. Возможно, что SEXXXY и новый вирус принадлежит перу одного автора.

Специалисты компании SimWorks обнаружили и вторую модификацию нового Трояна — Gavno.b. Этот вариант вируса отличается установочным файлом: patch_v2.sis больше по размеру, чем patch.sis, и включает в себя копии троянов Cabir и Camtimer. Как только Gavno.b оказывается в мобильном телефоне, Cabir начинает рассылать копии троянов мобильным телефонам, находящимся в зоне действия Bluetooth.

Новый вирус — это уже не шутки. Его разрушающая способность действительно велика. Он нарушает работу всех приложений телефона и часто приводит к тому, что телефон постоянно самопроизвольно перезагружается.

Новый вирус заражает телефоны Series 60, использующие Symbian OS v7. К числу таких аппаратов относятся, например, Nokia 6600 и 7610. Троян не заражает телефоны с интерфейсом UIQ Symbian и телефоны Series 60, использующие Symbian OS v6.x. Это значит, владельцы телефонов SonyEricsson P900/P910, Motorola A925/ A1000, Nokia 3650, Siemens SX1, могут быть спокойны.

securitylab.ru

9 марта 2005

Commwarrior.A
Commwarrior - вирус для мобильных телефонов, работающих на платформе Symbian 60 серии.
Вирус распространяется через MMS сообщения и Bluetooth.

MMS позволяет посылать текстовые сообщения, которые содержащат изображения, аудио или видео информацию. MMS сообщения можно посылать с телефона на другой телефон или email.

Обнаружены 2 разновидности вируса, создающие файлы:

\system\apps\CommWarrior\commwarrior.exe
\system\apps\CommWarrior\commrec.mdl

\system\updates\commrec.mdl
\system\updates\commwarrior.exe
\system\updates\commw.sis

Содержит текст:

CommWarrior v1.0 © 2005 by e10d0r
OTMOP03KAM HET!
Вирус пытается послать различные сообщения через MMS и Bluetooth, содержащие следующий текст:


Norton AntiVirus
Released now for mobile, install it!

Dr.Web
New Dr.Web antivirus for Symbian OS. Try it!

MatrixRemover
Matrix has you. Remove matrix!

3DGame
3DGame from me. It is FREE !

MS-DOS
MS-DOS emulator for SymbvianOS. Nokia series 60 only. Try it!

PocketPCemu
PocketPC *REAL* emulator for Symbvian OS! Nokia only.

Nokia ringtoner
Nokia RingtoneManager for all models.

Security update #12
Significant security update. See www.symbian.com

Display driver
Real True Color mobile display driver!

Audio driver
Live3D driver with polyphonic virtual speakers!

Symbian security update
See security news at www.symbian.com

SymbianOS update
OS service pack #1 from Symbian inc.

Happy Birthday!
Happy Birthday! It is present for you!

Free SEX!
Free *SEX* software for you!

Virtual SEX
Virtual SEX mobile engine from Russian hackers!

Porno images
Porno images collection with nice viewer!

Internet Accelerator
Internet accelerator, SSL security update #7.

WWW Cracker
Helps to *CRACK* WWW sites like hotmail.com

Internet Cracker
It is *EASY* to *CRACK* provider accounts!

PowerSave Inspector
Save you battery and *MONEY*!

3DNow!
3DNow!™ mobile emulator for *GAMES*.

Desktop manager
Official Symbian desctop manager.

CheckDisk
*FREE* CheckDisk for SymbianOS released!MobiComm

Тело вируса также содержит следующий текст:


MobiComm, Mobile communications inspector. Try it!

BAFL[10003a0f].DLL
BLUETOOTH.DLL
EFSRV[100039e4].DLL
ESOCK[10003d3f].DLL
EUSER[100039e5].DLL
IROBEX[10003d57].DLL
MSGS[10004e66].DLL
PBKENG[101f4cce].DLL
PLPVARIANT[10009b13].DLL
SDPAGENT[10009222].DLL
SDPDATABASE[10009220].DLL

securitylab.ru

Новый вариант Cabir "подружился" с MMS
05 апреля 2005

Компания F-Secure предупреждает о появлении новой вредоносной программы, инфицирующей портативные устройства под управлением Symbian OS.

Обнаруженный сетевой червь получил название Mabir. Фактически, Mabir представляет собой модификацию вируса Cabir, который впервые был найден в июне прошлого года. Вредоносная программа Cabir попадает на смартфон в виде файла в формате SIS. В процессе распространения используется беспроводная связь ближнего радиуса действия Bluetooth. Каких-либо деструктивных функций первые версии Cabir не имеют, однако их присутствие на коммуникаторе может приводить к быстрому разряду аккумулятора из-за постоянного поиска доступных устройств в зоне видимости Bluetooth.

Вирус Mabir по своим характеристикам очень похож на Cabir, более того, даже имена вредоносных файлов у этих червей одинаковы - caribe.sis. Тем не менее, в F-Secure подчеркивают, что Mabir, несмотря на использование оригинального кода своего предшественника, представляет намного большую угрозу. Дело в том, что Mabir способен распространяться не только посредством Bluetooth, но и в составе мультимедийных коротких сообщений MMS. Во втором случае копии вредоносного кода высылаются в качестве ответов на входящие послания. Такая схема может ввести жертву в заблуждение и побудить ее открыть полученный файл с именем info.sis.

Впрочем, деструктивных функций в коде Mabir по-прежнему не найдено. К тому же червь пока не был обнаружен в диком виде. Кстати, первый мобильный вирус, распространяющийся посредством MMS, появился менее месяца назад. Червь Commwarrior также поражает коммуникаторы под управлением Symbian OS (платформа Nokia Series 60). Примечательно, что в коде этого вируса присутствует строка "OTMOP03KAM HET!", поэтому не исключено, что к написанию Commwarrior приложили руки российские хакеры.

Компьюлента

Новый троян приводит смартфоны в негодность
07 апреля 2005

Компания F-Secure обнаружила еще одну вредоносную программу, поражающую портативные устройства под управлением операционной системы Symbian (Series 60).

Троян Fontal не способен распространяться самостоятельно и может попасть на смартфон в том случае, если пользователь вручную загрузит его из интернета, например, через файлообменную сеть или канал IRC. Установочный файл вредоносной программы носит название Kill Saddam By OID500.sis. После запуска владельцем коммуникатора Fontal нарушает работу диспетчера программ, что не позволяет ни деинсталлировать трояна, ни загрузить антивирусное программное обеспечение.

Кроме того, Fontal устанавливает в систему поврежденный файл со шрифтом. Если пользователь после этого попытается перезагрузить операционную систему, смартфон переходит в полностью нерабочее состояние. Единственный известный на сегодняшний день способ устранения трояна заключается в перепрошивке коммуникатора. Однако при выполнении подобной операции все записанные в память устройства данные, включая содержимое книги контактов, будут утеряны.

Специалисты F-Secure рекомендуют быть предельно внимательными при загрузке приложений из интернета, а в случае инсталляции Fontal ни в коем случае не перезагружать коммуникатор.

Примечательно, что Fontal был обнаружен всего спустя три дня после появления вредоносной программы Mabir, также поражающей смартфоны с Symbian OS. Червь Mabir может распространяться посредством беспроводной связи Bluetooth, а также в составе мультимедийных коротких сообщений MMS. Правда, деструктивных операций на инфицированном устройстве Mabir не выполняет.

Компьюлента

Новый вирус поражает мобильные телефоны
24 августа 2005

Эксперты по вопросам безопасности констатировали во вторник, что Великобритания стала пятнадцатой страной, столкнувшейся с заражениями вирусом CommWarrior. По информации компании F-Secure, группа британских граждан пострадала от действий вируса еще в прошлом году на отдыхе в Средиземном море. Одна из ничего не подозревавших туристок вернулась домой и только через несколько недель обнаружила, что ее телефон заражен.

"Фактически телефон пользователя был инфицирован, после того как женщина согласилась принять неизвестное входящее сообщение. Это случилось еще во время отдыха на Средиземном море", - сообщил Патрик Ранальд, главный антивирусный консультант компании. По его словам, инфекция была обнаружена, только когда хозяйка телефона заметила резкое падение баланса на счете из-за массовой рассылки MMS.

Вирус CommWarrior атакует смартфоны под управлением мобильной операционной системы Symbian Series 60 и распространяется посредством Вluetooth или MMS. По всей вероятности, заражение в данном случае произошло через Bluetooth.

В период с 8 утра до 12 ночи вирус пытается распространить себя через Bluetooth, а с 12 до 7 утра рассылает зараженные MMS всем контактам из адресной книги. В остальное время вирус уничтожает следы своей активности. CommWarrior зловреднее Cabir, так как несанкционированная MMS-активность подрывает финансововое положение абонентов.

В любом случае, CommWarrior начинает свою подрывную деятельность только после того, как пользователь собственноручно запустит исполнение кода. "До сих пор ни один вирус не смог обойти программу защиты. В каждом случае заражение происходит по вине пользователя", - подводит итог Патрик Ранальд.

Компьюлента