Темным-темно, все спят уже,А черви ищут брешь в «трубе»…

Эпиграф, конечно, прозаичный. Однако он здесь совсем не для красоты, а для отражения всей насущности существующей проблемы. «Какой», — спросите вы! «Вирусной», — отвечу я, и буду прав.

Да, вредоносные программы появились довольно-таки давно, и человечество (к слову, некоторые представители которого эти вирусы и придумали) уже выработало четкие системы защиты от возникшей угрозы. Но дело в том, что все существующие решения применимы только в компьютерной индустрии. А ведь сейчас на рынке высоких технологий все большее и большее место занимают мобильные телефоны, причем преимущественно с операционными системами, на которые собственно и нацелена неожиданно активизировавшаяся напасть. И если в случае с компьютером зловредную зверушку можно заполучить лишь во время сеанса работы с Интернетом или загрузки какой-нибудь пиратской программы, то в случае с сотовыми телефонами это актуально 24 часа в сутки, — все время, пока включен аппарат.

Таким образом, когда возникла прямая опасность, исходящая от вирусов, программному обеспечению — фактически мозгу — таких «умных» трубок, то практически никто не знал, что делать, так как ранее не верил в возможность появления мобильных паразитов.

Немного этимологии

Давайте сразу определимся с наименованиями. Несмотря на то, что во вступлении я поголовно все вредительские программы именую вирусами, это не совсем правильно. Поэтому дальше по тексту (в некоторых местах) будет целесообразным провести пусть не четкую, но все же устойчивую границу.

Итак:

Вирус — программа, которая воспроизводит саму себя и тем самым распространяется (заражает другие программы и документы, приписывает себя к ним). Обычно производит вредные действия, мешает работать, уничтожает или искажает данные.

Червь — зловредная программа, которая размножается и заполняет память аппарата, оснащенного операционной системой, тем самым мешая работать. Распространяется самостоятельно через сопутствующую периферию.

Троян, троянский конь — ненавистная «фича», которая тихо прячется в умном устройстве и может когда-нибудь выполнить какое-то вредное действие. К таковым можно отнести удаление любой информации из памяти устройства, «зависание» системы, воровство конфиденциальной информации и т.д. Троянский конь срабатывает при определенных действиях, в назначенное время или по запросу.

Таким образом, на сегодня, существуют два основных вида пути попадания вирусов в телефон. Первый — тот, когда пользователь сам заносит их, то есть фактически собственноручно устанавливает троянского коня, второй — когда инфицированная зверушка присылается с сообщением или поступает со звонком на телефон, тогда пользователь становится жертвой червя.

Как все начиналось

Первая запись в истории развития мобильных вирусов была поставлена еще в самом начале XXI века, точнее, в июне 2000 года. Именно тогда в Испании появилось некое подобие вирусообразной программы для мобильных аппаратов.

Концепт носил имя «Timofonica» (приставка «timo» в переводе на русский язык обозначает «мошенничество», «надувательство»), что по звучанию очень напоминало название крупнейшего пиренейского телекоммуникационного гиганта Telefonica. Вирус использовал весьма оригинальный способ подпортить жизнь владельцам мобильных телефонов: заражая компьютеры ничего не подозревающих людей, он посылал с них SMS-сообщения на телефоны местного оператора MoviStar, предоставляющего услуги в стандарте GSM. Эти сообщения содержали всего одну строку на испанском языке: «Информация для вас: Telefonica вас надувает!»

Российских пользователей подобное SMS-хулиганство никак не затронуло. Да и вообще, по сути, назвать Timofonica типично мобильным вирусом не поворачивается язык, ведь он располагался на компьютере, то есть всецело использовал его ресурсы и распространялся по электронной почте, благодаря которой и рассылал сообщения; больше никакого действия на мобильные телефоны он не оказывал.

В августе того же года всерьез встрепенулись абоненты японского оператора NTT DoCoMo. Причина крылась в странном поведении их мобильников, оснащенных поддержкой сервиса «i-mode» (быстрый доступ к развлекательным ресурсам Всемирной паутины). В момент, когда происходило одно из типичных online-голосований при помощи wap-сервиса, при ответе на один из вопросов, трубки всех владельцев, участвующих в викторине, начали звонить на тамошний телефон полиции, что привело к существенной перегрузке сети.

Всего было зарегистрировано более 400 пустых звонков. В ходе расследования случившегося инцидента выяснилось, что во все телефоны абонентов NTT DoCoMo, поддерживающие «i-mode», оператором был вшит «баг», разрешающий несанкционированный доступ к аппарату. Случай со временем был «замазан», однако для чего были совершены звонки именно на номер экстренной службы, так и не удалось выяснить.

Собственно, таким образом и началась эра «страшилок» для мобильных устройств.

Словарь червей

Cabir. Вирус создан для размножения на аппаратах под управлением операционной системы Symbian OS. Появился в июне 2004 года. Распространяется только посредством Bluetooth-соединения. Сразу после попадания на чей-либо смартфон начинает постоянно сканировать эфир с целью поиска все новых и новых жертв. Помимо банального самовоспроизведения никакой опасности для смартфонов Cabir не несет, кроме разве что увеличения быстроты разряда батареи вследствие активного использования технологии Bluetooth.

При обнаружении потенциального «клиента» зараженное устройство отправляет ему файл caribe.sis объемом 15 кбайт. Для жертвы это выглядит так: на экране появляется предложение принять некое письмо, и, если пользователь дает согласие, на его телефон пересылается файл с вирусом, после чего система спрашивает разрешения инсталлировать программу под названием «Caribe». Если и на этот вопрос следует утвердительный ответ, червь устанавливается в систему, для верности копируя себя сразу в несколько директорий. Автор мобильного червя Cabir — некто под псевдонимом Vallez, является членом международной группировки 29А, специализирующейся на создании концептуальных программ-разрушителей. Раннее она прославилась созданием таких компьютерных вирусов, как Cap (первый макровирус, вызвавший глобальную эпидемию), Stream, Donut (гроза платформы .NET), Rugrat (первый вирус для Win 64) и других. Главной жертвой программы являются аппараты под управлением именно Symbian OS. На ней, в частности, работают смартфоны и коммуникаторы Nokia, Sony Ericsson и Siemens. Но не исключено, что Cabir может обосноваться и в моделях других производителей.

CommWarrior. Он способен атаковать аппараты под управлением Symbian Series 60. Появился в первой половине 2005 года. Предположительно разработан российскими хакерами, так как в своем коде вирус имеет фразу «Отморозкам нет»! При заражении предлагает инсталлировать себя, заведомо маскируясь под какую-нибудь программу: утилиту-менеджера виртуального рабочего стола, программу для просмотра порно-картинок, антивирус. Распространяется по Bluetooth или MMS.

Первый механизм распространения, реализованный в Comwarrior, существенно отличается от такового у Cabir. Cabir заражает лишь один телефон из всех доступных: переключение на другое устройство произойдет лишь в тот момент, когда заражаемый телефон покинет территорию видимости. Comwarrior же , в свою очередь, стремится заразить сразу все телефоны, находящиеся в радиусе зоны досягаемости. Поэтому он развивается намного быстрее, нежели Cabir. Второй способ заключается в рассылке своей копии всем абонентам из телефонной книги посредством MMS. Страшно подумать на какую сумму можно залететь, учитывая, что, как правило, в списке контактов находится минимум сотня записей.

Duts. Является первенцем среди вирусов для смартфонов (в том числе и КПК), построенных на платформах Windows Mobile. Был обнаружен «Лабораторией Касперского» в середине октября 2004 года. По оценкам экспертов, Duts — это типичный концептуальный червь, опасный лишь для узкого круга устройств. Вирус в виде файла размером 1520 байт может попасть в аппарат по любым каналам связи с внешним миром: электронной почте, Интернету, при синхронизации с ПК, сменным картам памяти или по технологии беспроводной связи Bluetooth.

После проникновения в систему Duts выводит на экран следующий текст: «Dear User, am I allowed to spread?» (Дорогой пользователь, вы позволите мне размножиться?). Те неистовые умы человечества, у которых хватит ума ответить «да» на этот запрос, установят вирус на свой мобильный телефон. При таком раскладе Duts внедряется в подходящие по формату и размеру исполняемые файлы в корневой директории устройства. В процессе заражения вирус дописывает себя в конец целевого файла, используя одно из его неупотребительных полей для собственной пометки во избежание повторного инфицирования. Каких-либо деструктивных функций данный вирус не несет.

Lasco. Типичный червь, поражающий сотовые телефоны, работающие под управлением Symbian Series 60. Был обнаружен компанией антивирусной F-Secure в январе 2005 года. Распространяется двумя способами: посредством уже опробованной для этих целей Bluetooth-связи и через исполняемые файлы. Второй способ в мобильных телефонах встречается впервые. В его рамках происходит инфицирование установленных на телефоне SIS-файлов, добавление в их конец строчки velasco.sis (размер порядка 12 кбайт) и модификация заголовков. Установка зараженного SIS-приложения приведет к его автоматическому запуску. Однако, как и прежде, у пользователя будет запрошено подтверждение на установку вируса.

Если червь получит разрешение на инсталляцию, то его исполняемые файлы сначала будут скопированы в одни папки, а после запуска паразита — в другие. Такие сложные манипуляции позволяют Lasco заражать телефон, даже если программа устанавливается на съемную карту памяти. Кроме того, благодаря этому трюку пользователь не может уничтожить вирус, выполнив uninstall SIS файла зараженной программы. Основное действие Lasco — саморазмножение. Создатель этого вируса — бразильский программист Маркос Веласко.

Mabir. По сути, это просто слегка доработанная версия червя Cabir, которая, в отличие от него, может распространяться еще и в MMS-сообщениях. Новая функция реализована интересным образом: червь рассылает себя не по всем номерам из телефонной книги, а только в ответ на входящее SMS- или MMS-сообщение, причем ответное послание не содержит ничего, кроме вредоносного файла info.sis.

Если телефон вашего знакомого заражен вирусом, то, отправив ему любое сообщение, в ответ вы получите подарочек в виде паразита Mabir.

Энциклопедия троянов

Dampig. Первое упоминание о нем датируется январем 2005 года. Распространяется в виде файла с расширением .SIS, маскируясь под «крэк» приложения FSCaller (программное обеспечение компании Symbian, из чего можно сделать вывод о списке потенциальных жертв).

При попадании на телефон блокирует некоторые системные приложения и модули файлового менеджера, а также заражает устройство несколькими вариантами червя Cabir. Удалить его самостоятельно не получится, даже если вы знаете, какой именно файл инфицирован. Дело в том, что сразу после попадания на телефон жертвы Dampig изменяет информацию в системной программе установки, благодаря чему и не может быть деинсталлирован вручную.

Doomboot. Троян замаскирован под файл с расширением .SIS, якобы содержащий взломанную версию игры Doom 2 для смартфонов под управлением Symbian. Появился в начале июля 2005 года. Распространяться самостоятельно не способен и может попасть на мобильное устройство только в том случае, если пользователь загрузит ее самостоятельно через Интернет.

После запуска вирус записывает в память смартфона поврежденные системные файлы и устанавливает другой вирус — Commwarrior. Червь Commwarrior, в свою очередь, пытается разослать собственные копии в теле сообщений MMS, а также через беспроводную связь Bluetooth, что приводит к быстрому разряду аккумуляторов. Следует отметить, что Doomboot не создает новые иконки и скрывает собственное название в списке работающих процессов, из-за чего пользователь может сразу и не заметить присутствие вредоносной программы. Однако перезагрузка инфицированного аппарата может привести к полной утере персональной информации, в том числе содержимого адресной книги и мультимедийных файлов. Для удаления этой вредоносной программы необходимо вручную найти и удалить файл Doom_2_wad_cracked_by_DFT_S60_v1.0.sis, а затем загрузить антивирусное программное обеспечение для деинсталляции Commwarrior. Причем сделать это нужно как можно быстрее, поскольку после разрядки аккумулятора портативное устройство может больше не запуститься. В результате владелец должен будет произвести форматирование, лишившись при этом всех своих персональных данных.

Drever. Обнаружен в конце марта 2005 года, и снова угрозе подвержена платформа Symbian. При заражении начинает отсылать компании F-Secure сообщения следующего содержания: «FSecure must die!!! Please, don´t make new antiviruses for my viruses and I stop make viruses for your antiviruses; My target is Simworks («FSecure должна умереть!!! Пожалуйста, не делайте новые антивирусы против моих вирусов, и тогда я перестану писать вирусы против ваших антивирусов; Моя цель — это Simworks»).

То есть фактически Drever опасен лишь потерей некоторой суммы денег, снятых со счета абонента за ненужные сообщения. Проникает на телефон под видом обновленной версии антивируса. При этом он устойчив ко многим распространенным системам защиты.

Fontal. Впервые был замечен в первых числах апреля 2005 года. Разработан вирус для смартфонов на платформе Symbian Series 60. Этот червь, выдавая себя за лицензионную программу, устанавливает на телефон поврежденный файл «Kill Saddam By OID500.sis». После этого незадачливого владельца смартфона начинают преследовать неприятности: вирус отключает работу диспетчера программ и не дает возможности удалить его. Также он устанавливает в систему поврежденный файл шрифта, в результате чего после перезагрузки устройство приходит в полностью нерабочее состояние.

Самый действенный способ борьбы с Fontal — жесткое форматирование системы с утерей всех данных.

Gavno. Идентифицирован специалистами антивирусной компании SimWorks как троян для смартфонов под управлением Symbian. Программа имеет красноречивое название, что говорит о русских корнях ее происхождения, и обладает вполне реальными вредоносными качествами. Она весит всего 2 кбайта и является самым маленьким и разрушительным трояном для смартфонов.

Методика распространения аналогична вирусу Cabir. Файл с расширением .SIS маскируется под новую прошивку для операционной системы. При заражении отключаются все процессы, отвечающие за функциональность устройства в качестве телефона. После инициализации рассылается на все устройства в зоне действия Bluetooth, после чего те умолкают. Избавиться от Gavno можно, деинсталлировав его при помощи мобильного антивируса.

Locknut. Замечен в марте 2005 года компанией F-Secure. Является угрозой для смартфонов на платформе Symbian Series 60. Распространяется путем маскировки под патч для обновления системного компонента. После запуска вирус уничтожает системный компонент, вследствие чего ни одно приложение не может быть запущено. Далее программа начинает противоречить сама себе. Сначала она устанавливает на смартфон червя Cabir, после чего… удаляет все программы, в том числе и недавно инсталлированный вирус. Однако противоречие тут только кажущееся. Дело в том, что в случае, если Locknut все же блокируется и уничтожается антивирусными приложениями, то Cabir остается на смарфтоне. Он помещается в «неправильную» папку и большинство антивирусов его просто не могут обнаружить.

Skulls. Его появление датируется концом 2004 года. Троян замаскирован под утилиту расширенного управления интерфейсными темами (Extended Theme Manager), а в качестве разработчика деструктивного приложения указывается фирма Tee-222. После запуска вируса иконки системных программ автоматически заменяются изображениями черепов, а использование основных функций, таких как работа в Интернете, отправка и чтение сообщений, электронная почта, — становится невозможным. Однако инфицированные аппараты все же сохраняют функциональность телефона, пользователи могут совершать и принимать звонки.

Специалисты настоятельно рекомендуют всем владельцам портативных устройств с Symbian OS быть максимально внимательными при загрузке любого программного обеспечения из глобальной паутины, поскольку процесс удаления трояна Skulls достаточно сложен и требует наличия специальной программы. В случае, если вирус все же был инсталлирован, пользователям ни в коем случае нельзя перезагружать смартфон, так как потом он может просто не включиться.

Onehop. Появился в середине июля 2005 года. Опасен в первую очередь для телефонов на базе Symbian. Маскируется под взломанное коммерческое программное обеспечение. Методика размножения такого вируса весьма изощренна: как только пользователь закачивает на свой смартфон файл, начинает работать деструктивная программа Onehop. Она фактически нейтрализует деятельность аппарата — при любом нажатии клавиш телефон перезагружается. Также одна из модификаций этого трояна меняет некоторые иконки в меню на «сердечки».

Помимо этого, используя протокол Bluetooth, вирус отсылает одну свою копию на другой телефон, которая, «установившись» там, распространяет другого паразита — Bootton, который тоже вызывает перезагрузку (но, в отличие от «собрата», он не способен распространяться по Bluetooth-протоколу). Освободиться от сей «зверушки» можно при помощи мобильного антивируса.

Blankfont. Впервые был обнаружен в десятых числах августа 2005 года. Поражает смартфоны под управлением Symbian OS. Представляет собой SIS-файл. Попадает на телефон под видом какой-нибудь программы.

Вирус Blankfont извращает, а иногда и удаляет все шрифты, существующие в телефоне, а соответственно и всю читабельную информацию, в том числе все пользовательские тексты интерфейса; однако, несмотря на это, телефон остается вполне работоспособным. Нейтрализуется последними версиями антивирусных программ.

Redbrowser. Датирован концом февраля 2006 года. Атакует телефоны с поддержкой Java. Важно то, что этот троянский вирус может попасть на любой девайс, использующий J2ME. Сначала Redbrowser появляется как текстовое послание с присоединенным файлом, заявляя, что это новый браузер, который может просматривать wap-сайты без подключения.

На самом же деле «браузер» оказывается троянцем, который рассылает текстовые послания по различным телефонным номерам, стоимостью от 3 до 6 долларов за сообщение. Кстати, владельцы российских междугородних телефонных линий могут сильно выиграть от такого вируса, однако пока нет никаких доказательств, что они к этому как-то причастны. Хотя вирусу еще далеко до глобальной угрозы — он обитает лишь в некоторых регионах России — это весьма серьезное вторжение хакеров в мир мобильных телефонов.

Код Да Винчи. Да-да, вы не ошиблись: именно такое имя носит компьютерно-мобильный вирус, появившийся в преддверии июня 2006 года и уже успевший заразить множество мобильных телефонов. Он распространяется через Bluetooth, и после заражения вызывает появление следующего послания: «Получить сообщение через Bluetooth от Кода Да Винчи?» Как только любопытный пользователь принимает «псевдо-месседж», вирус попадает в систему и уничтожает данные телефона, а на экране мобильника в это время появляется изображение глаза и креста. Если телефон заражен, единственный выход — форматирование; восстановить данные не получится. Правда, сейчас некоторыми специалистами высказываются, что этот троян был всего лишь «уткой».

Чего ожидать…

Итак, по мере усложнения мобильных устройств опасность их поражения растет. Возможно, уже через пару лет людям будет трудно пользоваться мобильниками без специального антивирусного программного обеспечения и средств персональной защиты от взлома хакеров. Поэтому в ближайшие годы сотовым компаниям придется всерьез заниматься антивирусной защитой выпускаемых устройств. Не исключено, что иммунитет от вредоносных программ станет конкурентным преимуществом, насущной необходимостью. В противном случае сети будут приносить абонентам не столько полезную информацию, сколько программы-разрушители.

Потому уже сейчас почти у каждого крупного антивирусного вендора есть системы защиты для мобильных устройств. Скажем, у финской компании F-Secure, американской McAfee, русской «Лаборатория Касперского». Они рассчитаны на любые устройства, работающие на указанных платформах (Symbian, Palm, Pocket PC), — не имеет значения, смартфон это или мини-компьютер. Аналогичные проблемы на своем уровне придется решать и операторам. Забавно, что верным средством от нашествия вирусов окажется использование самых примитивных сотовых трубок. Но вряд ли они будут предназначены для сетей связи следующего поколения.

Источник