Cool_SMS Технические детали. Троянская программа для телефонов, поддерживающих платформу Java. Вредоносная программа представляет собой файл формата jar. Приложение является MIDP-1.0 мидлетом. Размер файла - 77 869 байт. Распространение и инсталляция. Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать файл Cool_Sms.jar и запустить вредоносную программу. Вредоносная программа маскируется под сборник SMS сообщений, который позволяет отправлять сообщения стандартными средствами мобильного телефона. Имеет русскоязычный интерфейс. Архив содержит в себе следующие файлы: FS.class - вспомогательный файл (2 103 байта); FW.class - вспомогательный файл (2 664 байта); S.class - вспомогательный файл (1 507 байт); CoolSMS.png - файл изображения (2 755 байт); Error.png - файл изображения(2 554 байта); Wait.png - файл изображения(2 481 байт); M.class - файл интерфейса (32 620байт); SM.class - непосредственно само троянское приложение, осуществляющее отправку SMS (1 945 байт); sms1.html - подборка SMS (7 498 байт); sms2.html - подборка SMS (139 860 байт); sms3.html - подборка SMS (62 885байт); sms4.html - подборка SMS (25 699байт); sms5.html - подборка SMS (60 878байт); sms6.html - подборка SMS (57 389байт); Файлы sms1.html, sms2.html, sms3.html, sms4.html, sms5.html, sms6.html содержат тексты SMS сообщений, которые программа может отправлять по выбору пользователя, на указанный пользователем номер. Примеры текстов этих сообщений представлены ниже: sms1.html: «Твой сосед купил новую мебель. Сегодня ночью приду тебя душить. Жаба.» «Поздравляю тебя с наступающим божественным праздником. Желаю следующий праздник встретить в раю... » .... Sms2.html: «Никогда не откладывай на завтра то, что можно и не делать. » «Доехала нормально, целую. Твоя крыша.» .... Sms6.html: «Его ушами в холода, Я укрываюсь иногда...» «Долго её мужики истязали, Били лопатой, зубами кусали, К горлу подставили ржавую вилку... Все тки, открыли пивную бутылку!» .... -Эти SMS будут отправлены только адресату, который был выбран пользователем. Кроме этого вредоносная программа, параллельно посылает SMS со словом "text" на платные номера. Деструктивная составляющая. В момент, когда пользователь отправляет выбранные им сообщения, вредоносная программа Cool_Sms.jar отправляет SMS на некоторые платные номера. Отправка SMS заканчивается только тогда когда опустошается лицевой счет абонента. Программа имеет деструктивный функционал, полностью совпадающий с функционалом RedBrowser.a. Однако в сети вредоносная прграмма распространяется под именем Cool_SMS.jar (программа весьма распространена в сети) и имеет при этом собственную маскирующую программу отличную от RedBrowser.a - это может ввести пользователя в заблуждение. К тому же при дизассемблировании файлаM.class, представляющего собой интерфейс маскирующей программы, обнаружились следующие строки: 0000 0034.import SM 0000 0035 SM.send(Ljava/lang/String;Ljava/lang/StringI 0000 0036 SM.IS()I 0000 0037 SM.GS()I ...... 0000 053C invokestatic SM.send(Ljava/lang/String;Ljava/lang/StringI Это показывает, что программа Cool_Sms написана СПЕЦИАЛЬНО для маскировки вредоносных действий вируса. Исходя из всего вышесказанного, автор считает целесообразным выделение Cool_Sms в виде отдельного вируса, либо новой модификации RedBrowser. Рекомендации по удалению. Программа удаляется посредством файлового менеджера, например файловым менеджером System Explorer v 1.80
SMSi.a Технические детали. Троянская программа для телефонов, поддерживающих платформу Java. Вредоносная программа представляет собой файл формата jar (возможное название isms.jar). Приложение является MIDP-2.0 мидлетом. Название мидлета - iSMS. Размер файла - 12 037 байт. Распространение и инсталляция. Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать файл *.jar, либо принять его по Bluetooth и после этого запустить вредоносную программу. Вирусное приложение выдает себя за программное обеспечение, способное отправлять sms сообщения от имени любого номера отправителя. Зловред имеет русскоязычный интерфейс. При выборе страны отправителя отображается следующий список стран: Россия Украина Украина(Life Казахстан Таджикистан Эстония Литва Латвия (Tele-2) Латвия (Lmt) В вирусной программе отображается следующее сообщение: "iSMS - это уникальное java-приложение для отправки SMS с любого номера. В поле ввода "от кого" можно указывать как номер телефона (в международном формате), так и любое слово, например: "79261234567" или "Putin". В поле ввода "на какой номер" следует четко указать номер телефона (в международном формате), кому адресовано сообщение. Для увеличения длины сообщения используйте latinskie bukvy." А также следующий текст правил отправки SMS: "Запрещается отправлять шутки содержащие информацию, носящую незаконный характер, включая информацию, нарушающую честь и достоинство, права и охраняемые законом интересы граждан, ложную или клеветническую информацию, материалы, способствующие разжиганию национальной розни, призывающие к совершению насилия над каким-либо лицом или группой лиц, содержащие инструкцию по совершения противоправной деятельности, в том числе разъясняющие порядок изготовления и/или применения взрывчатых веществ, оружия и наркотических средств. Так же запрещается использовать названия брэндов компания (в том числе и операторов связи) без их согласия. При нарушении одного из этих правил, Ваше сообщение может быть не доставлено адресату." Архив содержит в себе следующие файлы: ISms.class - основной класс троянской программы, осуществляющей отправку SMS (2 814 байт); logo.png - файл изображения (983 байт); CoCanvas.class - (3 709 байт); LogoCanvas.class - (1 933 байт); MyCanvas.class - (11 005 байт); e.png - файл изображения (182 байт); i.png - файл изображения (178 байт); Sms.png - иконка приложения (153 байт); Info.txt - текстовый файл (179 байт); Файл Info.txt содержит в себе следующую текстовую информацию: "iSMS - Java-приложение для отправки SMS-сообщений с любого номера. Стоимость номеров: 9916 - 2.8 у.е. 1161, 5013, 1390 - 3 у.е. 13202 - 3.5 у.е. 26000613, 29301199 - 5 у.е." Деструктивная составляющая. Вредоносная программа отправляет SMS сообщения на платные premium номера. В результате чего со счета пользователя снимаются денежные средства, часть из которых идет на счет вирусописателя. Рекомендации по удалению. Программа удаляется посредством файлового менеджера. Для полного удаления вируса из операционной системы необходимо закрыть программное обеспечение, если оно запущено, после чего удалить файл jar.
Red Browser Представляет собой JAVA-приложение: он может быть загружен на телефон как из Интернета, так и другими способами - через Bluetooth-соединение или с персонального компьютера. Вирус маскируется под программу, позволяющую посещать WAP-сайты без необходимости настройки WAP-подключения. Такая возможность достигается за счет отправки и приема бесплатных SMS-сообщений. "Троян" же рассылает SMS на некоторые платные мобильные сервисы. За каждое подобное сообщение со счета пользователя снимается 5-6 долларов. Таким образом, почти моментально на счету абонента не остается средств.
Swapi.c Технические детали. Троянская программа для телефонов, поддерживающих платформу Java. Вредоносная программа представляет собой файл формата jar (возможное название BySmS_s-c.ru.jar). Приложение является MIDP-2.0мидлетом. Название мидлета - BySmS. Размер файла - 119 396 байт. Распространение и инсталляция. Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать файл *.jar, либо принять его по Bluetooth и после этого запустить вредоносную программу. Архив содержит в себе следующие файлы: HotSex.class - основной класс троянской программы, осуществляющей отправку SMS (3 114 байт); ico.png - иконка приложения (320 байт); pr 008.jpg - файл изображения (71 323 байт); pr 010.jpg - файл изображения (23 554 байт); pr 011.jpg - файл изображения (22 907 байт); Деструктивная составляющая. Вредоносная программа отправляет SMS сообщения на платные premium номера. В результате чего со счета пользователя снимаются денежные средства, часть из которых идет на счет вирусописателя. Рекомендации по удалению. Программа удаляется посредством файлового менеджера. Для полного удаления вируса из операционной системы необходимо закрыть программное обеспечение, если оно запущено, после чего удалить файл jar.
SMSFree.d Технические детали. Троянская программа для телефонов, поддерживающих платформу Java. Вредоносная программа представляет собой файл формата jar (sms,jar). Приложение является MIDP-2.0 мидлетом. Размер файла – 32 652 байт. Распространение и инсталляция. Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать файл sms.jar, либо принять его по Bluetooth и после этого запустить вредоносную программу. Вредоносная программа маскируется под полезное программное обеспечение, которое якобы позволяет отправлять бесплатные смс сообщения в следующие страны: Россия, Украина, Латвия, Литва, Эстония, Азия. Имеет русскоязычный интерфейс. При запуске приложения выводится следующая инструкция: “Программа Для отправки sms с подменой номера, вам нужно правильно выбрать страну, заполнить все поля, и разрешить отправку sms, сервис абсолютно бесплатный” Архив содержит в себе следующие файлы: a.class — вспомогательный файл (1 507 байт); FreeSMS.class — непосредственно само троянское приложение, осуществляющее отправку SMS (1 945 байт); slots.png — файл изображения (6 869 байт); sms.png — файл изображения (1 034 байт); x1.png — файл изображения (8 030 байт); x2.png — файл изображения (7 650 байт); x3.png — файл изображения (5 919 байт); Деструктивная составляющая. В момент, когда пользователь пробует отправить желаемые сообщения, вредоносная программа sms.jar отправляет SMS на платные номера. Пользователю неоднократно показываются ошибки при отправке, для того чтобы вынудить его повторять попытки и отправлять сообщения на платные номера. Рекомендации по удалению. Программа удаляется посредством файлового менеджера, например файловым менеджером System Explorer. Для полного удаления вируса из операционной системы необходимо закрыть программное обеспечение, если оно запущено, после чего удалить файл sms.jar
SmsAlarm Троянская программа для телефонов, поддерживающих платформу Java. Вредоносная программа представляет собой файл формата jar. Приложение является MIDP-2.0 мидлетом. Размер файла - в зависимости от модификации от 12 кб до 41,4 кб. Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать и запустить зловредное приложение. Известные имена модификаций вируса: porno.jar PORNO_XXX_HARD_SEX_i.jarsex_s_uchilkoy.jarsms_send er.jar spam_sms.jar XXX_SEX.jar Lena.jar а также возможны другие женские имена При запуске отображаются сообщения, смысл которых сводится к тому, чтобы пользователь подтвердил установку вредоносной программы. Далее через некоторый промежуток времени начинается отправка сообщений (платных) на специальный короткий номер до полного обнуления баланса. Примеры сообщений запросов на отправку SMS: "Search""Play""PORNO_GAME""CLICK "YES" "BAM 18?" Некоторые запросы дублируются в графической форме. Каждая модификация данного вируса содержит в себе основной класс мидлета SMSAlarm.class.
Вирусы Symbian OC:
Doomboot.k Технические детали: Троянская программа для смартфонов, работающих под управлением ОС Symbian. Вредоносная программа представляет собой SIS файл. Размер файла - 63 393 байта. Распространение: Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать и запустить вредоносную программу. Вирус маскирует себя под специальную версию антивирусного приложения exoVirusStop v 2.13.16. При установке выдается следующее сообщение: «Установить "exoVirusStop v 2.13.16"?» При инсталляции вредоносная программа создает в телефоне 17 файлов C:\ETel.dll C:\etelmm.dll C:\etelpckt.dll C:\etelsat.dll C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.app C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.MBM C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.MDL C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.rsc C:\system\apps\EVS\EVS.aif C:\system\apps\EVS\EVS.app C:\system\apps\EVS\EVS.rsc C:\system\apps\EVS\EVS_caption.rsc C:\system\apps\EVS\exovirusstop.mbm C:\system\apps\velasco\marcos.mdl C:\system\apps\velasco\velasco.app C:\system\apps\velasco\velasco.rsc Кроме указанных выше файлов в теле вредоносной программы имеется текстовой файл PopUp0.txt, в котором содержится следующая информация: «For updates visit [Только зарегистрированные пользователи могут видеть ссылки. Регистрация!]. If there is a virus re-boot your phone after disinfection» Отметим также, что по окончанию процесса инсталляции вредоносной программы текст файла PopUp0.txt на экране мобильного устройства не выдается. Деструктивная составляющая: После инсталляции вредоносной программы происходит подмена системных библиотек на поврежденные файлы. Из-за чего после перезагрузки системы мобильное устройство не загружается. Рекомендации по удалению: Сброс состояния памяти и настроек телефона в заводской вид служебным кодом (для смартфонов Nokia код *#7370#) или хард ресет, либо сменой прошивки телефона.
Blankfont.a Вредоносная программа для сматфонов, работающих под управлением ОС Symbian. Вредоносная программа представляет собой файл формата SIS. Размер файла - 2 917 байт. Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать вредоносную программу через Internet или Bluetooth и подтвердить установку этого приложения к себе на смартфон. Вирус пытается замаскироваться под обычное приложение. Пользователь же, ничего не подозревая, может подтвердить установку. После установки вредоносной программы в диспетчере приложений появляется запись об установленной программе Rally 2: При инсталляции программа создает в телефоне следующие файлы: C:\system\fonts\Panic.gdr Panic.gdr- файл шрифта. Однако он является файлом пустышкой, содержащим пустой шрифт. Таким образом, все надписи в смартфоне исчезают, и пользователь больше не может им пользоваться, разве что по памяти. Удаление: если смартфон не перегружали,удаляем с помощью файл-менеджера,в противном случае Хард ресет.
Romride.a Троянская программа для смартфонов, работающих под управлением ОС Symbian. Вредоносная программа представляет собой SIS файл Nokia Live.sis. Размер файла - 3 233 байта. Собственной процедуры распространения не имеет. Инсталляции вредоносной программы осуществляется пользователем смартфона. При инсталляции программа создает в телефоне 13 следующих файлов: C:\System\Bootdata\CommonData.D00 C:\System\Bootdata\FirstBoot.dat C:\System\Bootdata\LocaleData.D01 C:\System\Mail\00001000 C:\System\Mail\00100000 C:\System\Mail\00100001 C:\System\Schedules\Schedules.dat C:\System\Shareddata\101f857a.ini C:\System\Shareddata\10005a40.ini C:\System\Shareddata\100056c6.ini C:\System\Shareddata\100058f1.ini C:\System\Shareddata\10005943.ini C:\System\Shareddata\reserve.bin Файлы являются поврежденными, имеют неверный формат либо имена, из-за чего система может работать не стабильно. После установки отображает окно со следующим текстом: Please Reboot Your Phone!IDc) Nokia и в диспетчере приложений смартфона появляется запись о установленной вредоносной программе "Nokia Live". Удаление: Для удаления вредоносной программы достаточно установить файловый менеджер с поддержкой отображения скрытых и системных файлов и удалить следующие файлы: C:\System\Bootdata\CommonData.D00 C:\System\Bootdata\FirstBoot.dat C:\System\Bootdata\LocaleData.D01 C:\System\Mail\00001000 C:\System\Mail\00100000 C:\System\Mail\00100001 C:\System\Schedules\Schedules.dat C:\System\Shareddata\101f857a.ini C:\System\Shareddata\10005a40.ini C:\System\Shareddata\100056c6.ini C:\System\Shareddata\100058f1.ini C:\System\Shareddata\10005943.ini C:\System\Shareddata\reserve.bin После чего перезагрузить телефон.
Dampig.a Троянская программа для сматфонов, работающих под управлением ОС Symbian. Вредоносная программа представляет собой установочный SIS архив. Размер файла - 99 413 байт. Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать (через Internet, Bluetooth) и сам подтвердить установку этого приложения к себе на смартфон: При установке вредоносной программы выдаются два сообщения: 1) Установить"UltraMP3-v4.0.1-XiMpDA"? 2) This installer was created with MakeSis 0.9 by Gip. For info: gip_mad@email.it
Таким образом, вирус пытается замаскироваться под обычное приложение. Пользователь же, ничего не подозревая, может подтвердить установку. При инсталляции программа создает в телефоне следующие файлы: c:\images\images01.SIS (файл вируса SymbOS.Cabir.D) c:\sounds\digital\002.SIS (файл вируса SymbOS.Cabir.D) c:\system\recogs\FLO.MDL c:\system\install\autoexecdaemon.SIS (файл вируса SymbOS.Cabir.C) c:\system\install\comcoder.SIS (файл вируса SymbOS.Cabir.A) c:\system\system\apps\[YUAN]\[YUAN].aif c:\system\system\apps\[YUAN]\[YUAN].app (файл вируса SymbOS.Cabir.C) c:\system\system\apps\[YUAN]\[YUAN].rsc c:\system\system\apps\[YUAN]\[YUAN]_CAPTION.rsC c:\system\system\apps\[YUAN]\flo.mdl c:\system\system\apps\BtUi\BTUI.aif c:\system\system\apps\BtUi\BTUI.app c:\system\system\apps\BtUi\BTUI.R01 c:\system\system\apps\BtUi\BTUI.R13 c:\system\system\apps\BtUi\BTUI_CAPTION.r01 c:\system\system\apps\BtUi\BTUI_CAPTION.R13 c:\system\system\apps\FExplorer\FExplorer.aif c:\system\system\apps\FExplorer\FExplorer.app (файл вируса SymbOS.Cabir.C) c:\system\system\apps\FExplorer\FExplorer.rsc c:\system\system\apps\FExplorer\FExplorer_CAPTION. rsC c:\system\system\apps\FExplorer\flo.mdl c:\system\system\apps\File\File.aif c:\system\system\apps\File\File.app(файл вируса SymbOS.Cabir.C) c:\system\system\apps\File\File.rsc c:\system\system\apps\File\File_CAPTION.rsC c:\system\system\apps\File\flo.mdl c:\system\system\apps\FREAKBtUi\FREAKBtUi.aif c:\system\system\apps\FREAKBtUi\FREAKBtUi.app c:\system\system\apps\FREAKBtUi\FREAKBtUi.R01 c:\system\system\apps\FREAKBtUi\FREAKBtUi.R13 c:\system\system\apps\FREAKBtUi\FREAKBtUi_CAPTION. r01 c:\system\system\apps\FREAKBtUi\FREAKBtUi_CAPTION. R13 c:\system\system\apps\SmartFileMan\flo.mdl c:\system\system\apps\SmartFileMan\SmartFileMan.ai f c:\system\system\apps\SmartFileMan\SmartFileMan.ap p (файл вируса SymbOS.Cabir.C) c:\system\system\apps\SmartFileMan\SmartFileMan.rs c c:\system\system\apps\SmartFileMan\SmartFileMan_CA PTION.rsC c:\system\system\apps\SmartMovie\flo.mdl c:\system\system\apps\SmartMovie\SmartMovie.aif c:\system\system\apps\SmartMovie\SmartMovie.app (файл вируса SymbOS.Cabir.C) c:\system\system\apps\SmartMovie\SmartMovie.rsc c:\system\system\apps\SmartMovie\SmartMovie_CAPTIO N.rsC c:\system\system\apps\SystemExplorer\flo.mdl c:\system\system\apps\SystemExplorer\SystemExplore r.aif c:\system\system\apps\SystemExplorer\SystemExplore r.app (файл вируса SymbOS.Cabir.C) c:\system\system\apps\SystemExplorer\SystemExplore r.rsc c:\system\system\apps\SystemExplorer\SystemExplore r_CAPTION.rsC После установки вредоносной программы в диспетчере приложений появляется запись об установленной программе UltraMP3-v4.0.1-XiMpDA и не работоспособными становятся некоторые системные приложения, такие как: BtUi- управление Bluetooth устройством FExplorer File FREAKBtUi SmartFileMan SmartMovie SystemExplorer Также вирус копирует несколько различных модификаций Cabir на смартфон, которые срабатывают не только после перезагрузки мобильного устройства, но и в случае запуска пользователем одного из поврежденных системных приложений.
RomWar.a Технические детали: Вредоносная программа для сматфонов, работающих под управлением ОС Symbian. Вредоносная программа представляет собой файл формата SIS. Размер файла - 29 434 байта. Распространение: Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать и запустить зловредное приложение. В процессе установки вредоносной программы выдается сообщение: «Установить "Stoper by WarriorMarrior"?» При инсталляции программа создает в телефоне следующие файлы: c:\System\Recogs\RecStoper.mdl c:\System\apps\Skins\WarriorMarrior\Startup.app c:\System\apps\Skins\WarriorMarrior\Startup.r02 Файл Startup.app является исполняемым файлом формата EPOC и имеет размер 25 948 байт. RecStoper.mdl - файл автозапуска вируса в случае перезагрузки. Деструктивная составляющая: Файл Startup.app является повреждённым, вследствие чего при включении мобильного устройства оно может работать не стабильно, либо вообще отказаться загружаться, выдав сообщение об ошибке. Рекомендации по удалению: Для удаления вируса достаточно удалить файловым менеджером следующие файлы: c:\System\Recogs\RecStoper.mdl c:\System\apps\Skins\WarriorMarrior\Startup.app c:\System\apps\Skins\WarriorMarrior\Startup.r02
Doomboot.a Троянская программа для смартфонов, работающих под управлением ОС Symbian. Вредоносная программа представляет собой SIS файл. Размер файла – 55 465 байта. Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать и запустить зловредное приложение. При установке выдается следующие сообщения: 1) Установить " Doom 2 cracket DFT v1.0 "? 2) Заменить 0.00 на 1.00 ? Таким образом, вредоносная программа маскируется под взломанную версию популярной программы-игрушки Doom 2. Ничего не подозревающий пользователь мобильного аппарата может подтвердить установку приложения. При инсталляции программа создает в телефоне 5 файлов: C:\ETel.dll C:\etelmm.dll C:\etelpckt.dll C:\etelsat.dll C:\Commwarrior.B.sis После установки вредоносной программы на мобильное устройство происходит подмена системных библиотек на поврежденные. Из-за чего после перезагрузки смартфон лишается своего основного функционала, либо не запускается совсем. Также на зараженное устройство устанавливается червь CommWarrior.b, который начинает искать активные Bluetooth устройства, в результате чего происходит ускоренная разрядка батареи телефона. Рекомендации по удалению: Хард ресет,либо смена прошивки телефона.
Doomboot.m Технические детали. Троянская программа для смартфонов, работающих под управлением ОС Symbian. Вредоносная программа представляет собой SIS файл. Размер файла – 70 674 байта. Распространение. Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать и запустить вредоносную программу. Инсталляция. При установке вредоносной программы выдается следующее сообщение: «Установить “Leslie Loves”?» При инсталляции вредоносная программа создает в телефоне 3 файла: C:\ETel.dll C:\system\data\IloveLeslie\LeslieLoves.jpg C:\system\data\IloveLeslie\RecQWRD.mdl Файлы LeslieLoves.jpg и RecQWRD.mdl являются файлами червя CommWarrior. Кроме указанных выше файлов в теле вредоносной программы имеется текстовой файл Read.txt, который отображается содержит в себе следующую информацию: «File Uploading & Modified by WarriorMarrior.» Деструктивная составляющая. После инсталляции вредоносной программы происходит подмена системной библиотеки ETel.dll на поврежденный файл. Из-за чего после перезагрузки системы мобильное устройство может работать не корректно. Рекомендации по удалению. Удаление файлов C:\ETel.dll C:\system\data\IloveLeslie\LeslieLoves.jpg C:\system\data\IloveLeslie\RecQWRD.mdl и восстановление исходного, не поврежденного файла системной библиотеки C:\ETel.dll Либо хард ресет, или смена прошивки телефона.
Viver.a Вредоносная программа для сматфонов, работающих под управлением ОС Symbian. Вредоносная программа представляет собой установочный SIS архив. Размер файла - 42962 байт. Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать вредоносную программу через Internet или Bluetooth и подтвердить установку этого приложения к себе на смартфон. Вирус пытается замаскироваться под обычное приложение. Пользователь же, ничего не подозревая, может подтвердить установку. После установки вредоносной программы в диспетчере приложений появляется запись об установленной программе RulesViwer При инсталляции программа создает в телефоне следующие файлы: c:\system\apps\RulesViver\data.bin c:\system\apps\RulesViver\editor.dat c:\system\apps\RulesViver\photo.jfif c:\system\apps\RulesViver\RulesViver.aif c:\system\apps\RulesViver\RulesViver.app c:\system\apps\RulesViver\RulesViver.rsc RulesViver.app является исполняемым файлом формата EPOC и имеет размер 19132 байт. Это основной файл троянца. RulesViver.aif- иконка приложения. RulesViver.rsc- файл ресурсов программы. photo.jfif - рисунок, размер которого 176x208 пикселов. Файлы data.bin и editor.dat, предназначенные для того, чтобы закамуфлировать основное назначение вируса. Вредоносная программаRulesViver.sis является трояном.Основное назначение этой вредоносной программы -отсылка SMS на специальные платные номера, вследствие чего со счета владельца мобильного аппарата снимаются определенные суммы денег, часть которых поступает злоумышленнику. Для работы использует функции из следующих системных библиотек: APGRFX.DLL APPARC.DLL AVKON.DLL BAFL.DLL BITGDI.DLL CONE.DLL EFSRV.DLL EIKCORE.DLL ETEXT.DLL EUSER.DLL FBSCLI.DLL GSMU.DLL MSGS.DLL SMCM.DLL WS32.DLL Удаление: Для удаления вредоносной программы достаточно удалить файловым менеджером следующие файлы: c:\system\apps\RulesViver\data.bin c:\system\apps\RulesViver\editor.dat c:\system\apps\RulesViver\photo.jfif c:\system\apps\RulesViver\RulesViver.aif c:\system\apps\RulesViver\RulesViver.app c:\system\apps\RulesViver\RulesViver.rsc После чего перезагрузить мобильно устройство.
Icons Троянская программа для мобильных аппаратов, работающих под управлением ОС Symbian. Вредоносная программа представляет собой SIS файл. Размер файла – 793 887 байта. Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать и запустить зловредное приложение. В процессе установки вредоносной программы выдается сообщение: Установить "ICONS" ? При инсталляции программа создает в телефоне 139 файлов. В результате после установки вредоносной программы происходит замена иконок системных и некоторых пользовательских приложений на поврежденные иконки. После чего программы не запускаются. Кроме поврежденных иконок на мобильное устройство устанавливается червь Cabir, который после перезагрузки телефона начинает передавать себя через Bluetooth. Список приложений, у которых происходит замена иконок: About AppInst AppMngr Autolock Browser BtUi Bva Calcsoft Calendar Camcorder CamTimer CbsUiApp CERTSAVER Chat ClockApp CodViewer ConnectionMonitorUi Converter Cshelp DdViewer FileManager GS ImageViewer Location Logs Mce MediaGallery MediaPlayer MediaSettings Menu Mmcapp MMM MmsEditor MmsViewer MsgMailEditor MsgMailViewer MusicPlayer Notepad NpdViewer NSmlDMSync NSmlDSSync Phone Phonebook Pinboard PRESENCE ProfileApp ProvisioningCx PSLN PushViewer Satui SchemeApp ScreenSaver Sdn SimDirectory SmsEditor SmsViewer Speeddial Startup SysAp ToDo Ussd VCommand Vm Voicerecorder WALLETAVMGMT WALLETAVOTA Удаление: Хард ресет,либо смена прошивки.
