Четверг, 21.11.2024, 11:34
Главная
Регистрация
Вход
Mobile content
Приветствую Вас Гость | RSS
Меню сайта
Категории каталога
секреты телефонов [14]
вирусы для телефонов [2]
Главная » Статьи » вирусы для телефонов

статья о вируса и способах лечения для телефонов
Cool_SMS 
Технические детали. 
Троянская программа для телефонов, поддерживающих платформу Java. 
Вредоносная программа представляет собой файл формата jar. 
Приложение является MIDP-1.0 мидлетом. 
Размер файла - 77 869 байт. 
Распространение и инсталляция. 
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать файл Cool_Sms.jar и запустить вредоносную программу. 
Вредоносная программа маскируется под сборник SMS сообщений, который позволяет отправлять сообщения стандартными средствами мобильного телефона. Имеет русскоязычный интерфейс. 
Архив содержит в себе следующие файлы: 
FS.class - вспомогательный файл (2 103 байта); 
FW.class - вспомогательный файл (2 664 байта); 
S.class - вспомогательный файл (1 507 байт); 
CoolSMS.png - файл изображения (2 755 байт); 
Error.png - файл изображения(2 554 байта); 
Wait.png - файл изображения(2 481 байт); 
M.class - файл интерфейса (32 620байт); 
SM.class - непосредственно само троянское приложение, осуществляющее отправку SMS (1 945 байт); 
sms1.html - подборка SMS (7 498 байт); 
sms2.html - подборка SMS (139 860 байт); 
sms3.html - подборка SMS (62 885байт); 
sms4.html - подборка SMS (25 699байт); 
sms5.html - подборка SMS (60 878байт); 
sms6.html - подборка SMS (57 389байт); 
Файлы sms1.html, sms2.html, sms3.html, sms4.html, sms5.html, sms6.html содержат тексты SMS сообщений, которые программа может отправлять по выбору пользователя, на указанный пользователем номер. Примеры текстов этих сообщений представлены ниже: 
sms1.html: 
«Твой сосед купил новую мебель. Сегодня ночью приду тебя душить. 
Жаба.» 
«Поздравляю тебя с наступающим божественным праздником. 
Желаю следующий праздник встретить в раю... » 
.... 
Sms2.html: 
«Никогда не откладывай на завтра то, что можно и не делать. » 
«Доехала нормально, целую. 
Твоя крыша.» 
.... 
Sms6.html: 
«Его ушами в холода, 
Я укрываюсь иногда...» 
«Долго её мужики истязали, 
Били лопатой, зубами кусали, 
К горлу подставили ржавую вилку... 
Все тки, открыли пивную бутылку!» 
.... 
-Эти SMS будут отправлены только адресату, который был выбран пользователем. Кроме этого вредоносная программа, параллельно посылает SMS со словом "text" на платные номера. 
Деструктивная составляющая. 
В момент, когда пользователь отправляет выбранные им сообщения, вредоносная программа Cool_Sms.jar отправляет SMS на некоторые платные номера. Отправка SMS заканчивается только тогда когда опустошается лицевой счет абонента. 
Программа имеет деструктивный функционал, полностью совпадающий с функционалом RedBrowser.a. Однако в сети вредоносная прграмма распространяется под именем Cool_SMS.jar (программа весьма распространена в сети) и имеет при этом собственную маскирующую программу отличную от RedBrowser.a - это может ввести пользователя в заблуждение. 
К тому же при дизассемблировании файлаM.class, представляющего собой интерфейс маскирующей программы, обнаружились следующие строки: 
0000 0034.import SM 
0000 0035 SM.send(Ljava/lang/String;Ljava/lang/StringI 
0000 0036 SM.IS()I 
0000 0037 SM.GS()I 
...... 
0000 053C invokestatic SM.send(Ljava/lang/String;Ljava/lang/StringI 
Это показывает, что программа Cool_Sms написана СПЕЦИАЛЬНО для маскировки вредоносных действий вируса. 
Исходя из всего вышесказанного, автор считает целесообразным выделение Cool_Sms в виде отдельного вируса, либо новой модификации RedBrowser. 
Рекомендации по удалению. 
Программа удаляется посредством файлового менеджера, например файловым менеджером System Explorer v 1.80 


SMSi.a 
Технические детали. 
Троянская программа для телефонов, поддерживающих платформу Java. 
Вредоносная программа представляет собой файл формата jar (возможное название isms.jar). 
Приложение является MIDP-2.0 мидлетом. Название мидлета - iSMS. 
Размер файла - 12 037 байт. 
Распространение и инсталляция. 
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать файл *.jar, либо принять его по Bluetooth и после этого запустить вредоносную программу. Вирусное приложение выдает себя за программное обеспечение, способное отправлять sms сообщения от имени любого номера отправителя. Зловред имеет русскоязычный интерфейс. 
При выборе страны отправителя отображается следующий список стран: 
Россия 
Украина 
Украина(Life 
Казахстан 
Таджикистан 
Эстония 
Литва 
Латвия (Tele-2) 
Латвия (Lmt) 
В вирусной программе отображается следующее сообщение: 
"iSMS - это уникальное java-приложение для отправки SMS с любого номера. 
В поле ввода "от кого" можно указывать как номер телефона (в международном формате), так и любое слово, например: "79261234567" или "Putin". В поле ввода "на какой номер" следует четко указать номер телефона (в международном формате), кому адресовано сообщение. Для увеличения длины сообщения используйте latinskie bukvy." 
А также следующий текст правил отправки SMS: 
"Запрещается отправлять шутки содержащие информацию, носящую незаконный характер, включая информацию, нарушающую честь и достоинство, права и охраняемые законом интересы граждан, ложную или клеветническую информацию, материалы, способствующие разжиганию национальной розни, призывающие к совершению насилия над каким-либо лицом или группой лиц, содержащие инструкцию по совершения противоправной деятельности, в том числе разъясняющие порядок изготовления и/или применения взрывчатых веществ, оружия и наркотических средств. Так же запрещается использовать названия брэндов компания (в том числе и операторов связи) без их согласия. 
При нарушении одного из этих правил, Ваше сообщение может быть не доставлено адресату." 
Архив содержит в себе следующие файлы: 
ISms.class - основной класс троянской программы, осуществляющей отправку SMS (2 814 байт); 
logo.png - файл изображения (983 байт); 
CoCanvas.class - (3 709 байт); 
LogoCanvas.class - (1 933 байт); 
MyCanvas.class - (11 005 байт); 
e.png - файл изображения (182 байт); 
i.png - файл изображения (178 байт); 
Sms.png - иконка приложения (153 байт); 
Info.txt - текстовый файл (179 байт); 
Файл Info.txt содержит в себе следующую текстовую информацию: 
"iSMS - Java-приложение для отправки SMS-сообщений с любого номера. 
Стоимость номеров: 
9916 - 2.8 у.е. 
1161, 5013, 1390 - 3 у.е. 
13202 - 3.5 у.е. 
26000613, 29301199 - 5 у.е." 
Деструктивная составляющая. 
Вредоносная программа отправляет SMS сообщения на платные premium номера. В результате чего со счета пользователя снимаются денежные средства, часть из которых идет на счет вирусописателя. 
Рекомендации по удалению. 
Программа удаляется посредством файлового менеджера. Для полного удаления вируса из операционной системы необходимо закрыть программное обеспечение, если оно запущено, после чего удалить файл jar. 

Red Browser 
Представляет собой JAVA-приложение: он может быть загружен на телефон как из Интернета, так и другими способами - через Bluetooth-соединение или с персонального компьютера. Вирус маскируется под программу, позволяющую посещать WAP-сайты без необходимости настройки WAP-подключения. Такая возможность достигается за счет отправки и приема бесплатных SMS-сообщений. "Троян" же рассылает SMS на некоторые платные мобильные сервисы. За каждое подобное сообщение со счета пользователя снимается 5-6 долларов. Таким образом, почти моментально на счету абонента не остается средств. 

Swapi.c 
Технические детали. 
Троянская программа для телефонов, поддерживающих платформу Java. 
Вредоносная программа представляет собой файл формата jar (возможное название BySmS_s-c.ru.jar). 
Приложение является MIDP-2.0мидлетом. Название мидлета - BySmS. 
Размер файла - 119 396 байт. 
Распространение и инсталляция. 
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать файл *.jar, либо принять его по Bluetooth и после этого запустить вредоносную программу. 
Архив содержит в себе следующие файлы: 
HotSex.class - основной класс троянской программы, осуществляющей отправку SMS (3 114 байт); 
ico.png - иконка приложения (320 байт); 
pr 008.jpg - файл изображения (71 323 байт); 
pr 010.jpg - файл изображения (23 554 байт); 
pr 011.jpg - файл изображения (22 907 байт); 
Деструктивная составляющая. 
Вредоносная программа отправляет SMS сообщения на платные premium номера. В результате чего со счета пользователя снимаются денежные средства, часть из которых идет на счет вирусописателя. 
Рекомендации по удалению. 
Программа удаляется посредством файлового менеджера. Для полного удаления вируса из операционной системы необходимо закрыть программное обеспечение, если оно запущено, после чего удалить файл jar. 


SMSFree.d 
Технические детали. 
Троянская программа для телефонов, поддерживающих платформу Java. 
Вредоносная программа представляет собой файл формата jar (sms,jar). 
Приложение является MIDP-2.0 мидлетом. 
Размер файла – 32 652 байт. 
Распространение и инсталляция. 
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать файл sms.jar, либо принять его по Bluetooth и после этого запустить вредоносную программу. 
Вредоносная программа маскируется под полезное программное обеспечение, которое якобы позволяет отправлять бесплатные смс сообщения в следующие страны: Россия, Украина, Латвия, Литва, Эстония, Азия. Имеет русскоязычный интерфейс. 
При запуске приложения выводится следующая инструкция: 
“Программа Для отправки sms с подменой номера, вам нужно правильно выбрать страну, заполнить все поля, и разрешить отправку sms, сервис абсолютно бесплатный” 
Архив содержит в себе следующие файлы: 
a.class — вспомогательный файл (1 507 байт); 
FreeSMS.class — непосредственно само троянское приложение, осуществляющее отправку SMS (1 945 байт); 
slots.png — файл изображения (6 869 байт); 
sms.png — файл изображения (1 034 байт); 
x1.png — файл изображения (8 030 байт); 
x2.png — файл изображения (7 650 байт); 
x3.png — файл изображения (5 919 байт); 
Деструктивная составляющая. 
В момент, когда пользователь пробует отправить желаемые сообщения, вредоносная программа sms.jar отправляет SMS на платные номера. Пользователю неоднократно показываются ошибки при отправке, для того чтобы вынудить его повторять попытки и отправлять сообщения на платные номера. 
Рекомендации по удалению. 
Программа удаляется посредством файлового менеджера, например файловым менеджером System Explorer. Для полного удаления вируса из операционной системы необходимо закрыть программное обеспечение, если оно запущено, после чего удалить файл sms.jar 


SmsAlarm 
Троянская программа для телефонов, поддерживающих платформу Java. 
Вредоносная программа представляет собой файл формата jar. 
Приложение является MIDP-2.0 мидлетом. 
Размер файла - в зависимости от модификации от 12 кб до 41,4 кб. 
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать и запустить зловредное приложение. 
Известные имена модификаций вируса: 
porno.jar 
PORNO_XXX_HARD_SEX_i.jarsex_s_uchilkoy.jarsms_send er.jar 
spam_sms.jar 
XXX_SEX.jar 
Lena.jar а также возможны другие женские имена 
При запуске отображаются сообщения, смысл которых сводится к тому, чтобы пользователь подтвердил установку вредоносной программы. Далее через некоторый промежуток времени начинается отправка сообщений (платных) на специальный короткий номер до полного обнуления баланса. 
Примеры сообщений запросов на отправку SMS: 
"Search""Play""PORNO_GAME""CLICK "YES" 
"BAM 18?" 
Некоторые запросы дублируются в графической форме. 
Каждая модификация данного вируса содержит в себе основной класс мидлета SMSAlarm.class. 

Вирусы Symbian OC: 

Doomboot.k 
Технические детали: 
Троянская программа для смартфонов, работающих под управлением ОС Symbian. 
Вредоносная программа представляет собой SIS файл. 
Размер файла - 63 393 байта. 
Распространение: 
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать и запустить вредоносную программу. 
Вирус маскирует себя под специальную версию антивирусного приложения exoVirusStop v 2.13.16. При установке выдается следующее сообщение: 
«Установить "exoVirusStop v 2.13.16"?» 
При инсталляции вредоносная программа создает в телефоне 17 файлов 
C:\ETel.dll 
C:\etelmm.dll 
C:\etelpckt.dll 
C:\etelsat.dll 
C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.app 
C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.MBM 
C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.MDL 
C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.rsc 
C:\system\apps\EVS\EVS.aif 
C:\system\apps\EVS\EVS.app 
C:\system\apps\EVS\EVS.rsc 
C:\system\apps\EVS\EVS_caption.rsc 
C:\system\apps\EVS\exovirusstop.mbm 
C:\system\apps\velasco\marcos.mdl 
C:\system\apps\velasco\velasco.app 
C:\system\apps\velasco\velasco.rsc 
Кроме указанных выше файлов в теле вредоносной программы имеется текстовой файл PopUp0.txt, в котором содержится следующая информация: 
«For updates visit [Только зарегистрированные пользователи могут видеть ссылки. Регистрация!]. 
If there is a virus re-boot your phone after disinfection» 
Отметим также, что по окончанию процесса инсталляции вредоносной программы текст файла PopUp0.txt на экране мобильного устройства не выдается. 
Деструктивная составляющая: 
После инсталляции вредоносной программы происходит подмена системных библиотек на поврежденные файлы. Из-за чего после перезагрузки системы мобильное устройство не загружается. 
Рекомендации по удалению: 
Сброс состояния памяти и настроек телефона в заводской вид служебным кодом (для смартфонов Nokia код *#7370#) или хард ресет, либо сменой прошивки телефона. 


Blankfont.a 
Вредоносная программа для сматфонов, работающих под управлением ОС Symbian. 
Вредоносная программа представляет собой файл формата SIS. 
Размер файла - 2 917 байт. 
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать вредоносную программу через Internet или Bluetooth и подтвердить установку этого приложения к себе на смартфон. 
Вирус пытается замаскироваться под обычное приложение. Пользователь же, ничего не подозревая, может подтвердить установку. 
После установки вредоносной программы в диспетчере приложений появляется запись об установленной программе Rally 2: 
При инсталляции программа создает в телефоне следующие файлы: 
C:\system\fonts\Panic.gdr 
Panic.gdr- файл шрифта. Однако он является файлом пустышкой, содержащим пустой шрифт. Таким образом, все надписи в смартфоне исчезают, и пользователь больше не может им пользоваться, разве что по памяти. 
Удаление: 
если смартфон не перегружали,удаляем с помощью файл-менеджера,в противном случае Хард ресет. 


Romride.a 
Троянская программа для смартфонов, работающих под управлением ОС Symbian. 
Вредоносная программа представляет собой SIS файл Nokia Live.sis. 
Размер файла - 3 233 байта. 
Собственной процедуры распространения не имеет. 
Инсталляции вредоносной программы осуществляется пользователем смартфона. 
При инсталляции программа создает в телефоне 13 следующих файлов: 
C:\System\Bootdata\CommonData.D00 
C:\System\Bootdata\FirstBoot.dat 
C:\System\Bootdata\LocaleData.D01 
C:\System\Mail\00001000 
C:\System\Mail\00100000 
C:\System\Mail\00100001 
C:\System\Schedules\Schedules.dat 
C:\System\Shareddata\101f857a.ini 
C:\System\Shareddata\10005a40.ini 
C:\System\Shareddata\100056c6.ini 
C:\System\Shareddata\100058f1.ini 
C:\System\Shareddata\10005943.ini 
C:\System\Shareddata\reserve.bin 
Файлы являются поврежденными, имеют неверный формат либо имена, из-за чего система может работать не стабильно. 
После установки отображает окно со следующим текстом: 
Please Reboot Your Phone!IDc) Nokia 
и в диспетчере приложений смартфона появляется запись о установленной вредоносной программе "Nokia Live". 
Удаление: 
Для удаления вредоносной программы достаточно установить файловый менеджер с поддержкой отображения скрытых и системных файлов и удалить следующие файлы: 
C:\System\Bootdata\CommonData.D00 
C:\System\Bootdata\FirstBoot.dat 
C:\System\Bootdata\LocaleData.D01 
C:\System\Mail\00001000 
C:\System\Mail\00100000 
C:\System\Mail\00100001 
C:\System\Schedules\Schedules.dat 
C:\System\Shareddata\101f857a.ini 
C:\System\Shareddata\10005a40.ini 
C:\System\Shareddata\100056c6.ini 
C:\System\Shareddata\100058f1.ini 
C:\System\Shareddata\10005943.ini 
C:\System\Shareddata\reserve.bin 
После чего перезагрузить телефон. 


Dampig.a 
Троянская программа для сматфонов, работающих под управлением ОС Symbian. 
Вредоносная программа представляет собой установочный SIS архив. 
Размер файла - 99 413 байт. 
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать (через Internet, Bluetooth) и сам подтвердить установку этого приложения к себе на смартфон: 
При установке вредоносной программы выдаются два сообщения: 
1) Установить"UltraMP3-v4.0.1-XiMpDA"? 
2) This installer was created with 
MakeSis 0.9 by Gip. For info: gip_mad@email.it 

Таким образом, вирус пытается замаскироваться под обычное приложение. Пользователь же, ничего не подозревая, может подтвердить установку. 
При инсталляции программа создает в телефоне следующие файлы: 
c:\images\images01.SIS (файл вируса SymbOS.Cabir.D) 
c:\sounds\digital\002.SIS (файл вируса SymbOS.Cabir.D) 
c:\system\recogs\FLO.MDL 
c:\system\install\autoexecdaemon.SIS (файл вируса SymbOS.Cabir.C) 
c:\system\install\comcoder.SIS (файл вируса SymbOS.Cabir.A) 
c:\system\system\apps\[YUAN]\[YUAN].aif 
c:\system\system\apps\[YUAN]\[YUAN].app (файл вируса SymbOS.Cabir.C) 
c:\system\system\apps\[YUAN]\[YUAN].rsc 
c:\system\system\apps\[YUAN]\[YUAN]_CAPTION.rsC 
c:\system\system\apps\[YUAN]\flo.mdl 
c:\system\system\apps\BtUi\BTUI.aif 
c:\system\system\apps\BtUi\BTUI.app 
c:\system\system\apps\BtUi\BTUI.R01 
c:\system\system\apps\BtUi\BTUI.R13 
c:\system\system\apps\BtUi\BTUI_CAPTION.r01 
c:\system\system\apps\BtUi\BTUI_CAPTION.R13 
c:\system\system\apps\FExplorer\FExplorer.aif 
c:\system\system\apps\FExplorer\FExplorer.app (файл вируса SymbOS.Cabir.C) 
c:\system\system\apps\FExplorer\FExplorer.rsc 
c:\system\system\apps\FExplorer\FExplorer_CAPTION. rsC 
c:\system\system\apps\FExplorer\flo.mdl 
c:\system\system\apps\File\File.aif 
c:\system\system\apps\File\File.app(файл вируса SymbOS.Cabir.C) 
c:\system\system\apps\File\File.rsc 
c:\system\system\apps\File\File_CAPTION.rsC 
c:\system\system\apps\File\flo.mdl 
c:\system\system\apps\FREAKBtUi\FREAKBtUi.aif 
c:\system\system\apps\FREAKBtUi\FREAKBtUi.app 
c:\system\system\apps\FREAKBtUi\FREAKBtUi.R01 
c:\system\system\apps\FREAKBtUi\FREAKBtUi.R13 
c:\system\system\apps\FREAKBtUi\FREAKBtUi_CAPTION. r01 
c:\system\system\apps\FREAKBtUi\FREAKBtUi_CAPTION. R13 
c:\system\system\apps\SmartFileMan\flo.mdl 
c:\system\system\apps\SmartFileMan\SmartFileMan.ai f 
c:\system\system\apps\SmartFileMan\SmartFileMan.ap p (файл вируса SymbOS.Cabir.C) 
c:\system\system\apps\SmartFileMan\SmartFileMan.rs c 
c:\system\system\apps\SmartFileMan\SmartFileMan_CA PTION.rsC 
c:\system\system\apps\SmartMovie\flo.mdl 
c:\system\system\apps\SmartMovie\SmartMovie.aif 
c:\system\system\apps\SmartMovie\SmartMovie.app (файл вируса SymbOS.Cabir.C) 
c:\system\system\apps\SmartMovie\SmartMovie.rsc 
c:\system\system\apps\SmartMovie\SmartMovie_CAPTIO N.rsC 
c:\system\system\apps\SystemExplorer\flo.mdl 
c:\system\system\apps\SystemExplorer\SystemExplore r.aif 
c:\system\system\apps\SystemExplorer\SystemExplore r.app (файл вируса SymbOS.Cabir.C) 
c:\system\system\apps\SystemExplorer\SystemExplore r.rsc 
c:\system\system\apps\SystemExplorer\SystemExplore r_CAPTION.rsC 
После установки вредоносной программы в диспетчере приложений появляется запись об установленной программе UltraMP3-v4.0.1-XiMpDA
и не работоспособными становятся некоторые системные приложения, такие как: 
BtUi- управление Bluetooth устройством 
FExplorer 
File 
FREAKBtUi 
SmartFileMan 
SmartMovie 
SystemExplorer 
Также вирус копирует несколько различных модификаций Cabir на смартфон, которые срабатывают не только после перезагрузки мобильного устройства, но и в случае запуска пользователем одного из поврежденных системных приложений. 


RomWar.a 
Технические детали: 
Вредоносная программа для сматфонов, работающих под управлением ОС Symbian. 
Вредоносная программа представляет собой файл формата SIS. 
Размер файла - 29 434 байта. 
Распространение: 
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать и запустить зловредное приложение. 
В процессе установки вредоносной программы выдается сообщение: 
«Установить "Stoper by WarriorMarrior"?» 
При инсталляции программа создает в телефоне следующие файлы: 
c:\System\Recogs\RecStoper.mdl 
c:\System\apps\Skins\WarriorMarrior\Startup.app 
c:\System\apps\Skins\WarriorMarrior\Startup.r02 
Файл Startup.app является исполняемым файлом формата EPOC и имеет размер 25 948 байт. RecStoper.mdl - файл автозапуска вируса в случае перезагрузки. 
Деструктивная составляющая: 
Файл Startup.app является повреждённым, вследствие чего при включении мобильного устройства оно может работать не стабильно, либо вообще отказаться загружаться, выдав сообщение об ошибке. 
Рекомендации по удалению: 
Для удаления вируса достаточно удалить файловым менеджером следующие файлы: 
c:\System\Recogs\RecStoper.mdl 
c:\System\apps\Skins\WarriorMarrior\Startup.app 
c:\System\apps\Skins\WarriorMarrior\Startup.r02 

Doomboot.a 
Троянская программа для смартфонов, работающих под управлением ОС Symbian. 
Вредоносная программа представляет собой SIS файл. 
Размер файла – 55 465 байта. 
Собственной процедуры распространения не имеет. 
Для заражения устройства пользователь должен сам скачать и запустить зловредное приложение. 
При установке выдается следующие сообщения: 
1) Установить " Doom 2 cracket DFT v1.0 "? 
2) Заменить 0.00 на 1.00 ? 
Таким образом, вредоносная программа маскируется под взломанную версию популярной программы-игрушки Doom 2. Ничего не подозревающий пользователь мобильного аппарата может подтвердить установку приложения. 
При инсталляции программа создает в телефоне 5 файлов: 
C:\ETel.dll 
C:\etelmm.dll 
C:\etelpckt.dll 
C:\etelsat.dll 
C:\Commwarrior.B.sis 
После установки вредоносной программы на мобильное устройство происходит подмена системных библиотек на поврежденные. Из-за чего после перезагрузки смартфон лишается своего основного функционала, либо не запускается совсем. Также на зараженное устройство устанавливается червь CommWarrior.b, который начинает искать активные Bluetooth устройства, в результате чего происходит ускоренная разрядка батареи телефона. 
Рекомендации по удалению: 
Хард ресет,либо смена прошивки телефона. 


Doomboot.m 
Технические детали. 
Троянская программа для смартфонов, работающих под управлением ОС Symbian. 
Вредоносная программа представляет собой SIS файл. 
Размер файла – 70 674 байта. 
Распространение. 
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать и запустить вредоносную программу. 
Инсталляция. 
При установке вредоносной программы выдается следующее сообщение: 
«Установить “Leslie Loves”?» 
При инсталляции вредоносная программа создает в телефоне 3 файла: 
C:\ETel.dll 
C:\system\data\IloveLeslie\LeslieLoves.jpg 
C:\system\data\IloveLeslie\RecQWRD.mdl 
Файлы LeslieLoves.jpg и RecQWRD.mdl являются файлами червя CommWarrior. Кроме указанных выше файлов в теле вредоносной программы имеется текстовой файл Read.txt, который отображается содержит в себе следующую информацию: 
«File Uploading & Modified by WarriorMarrior.» 
Деструктивная составляющая. 
После инсталляции вредоносной программы происходит подмена системной библиотеки ETel.dll на поврежденный файл. Из-за чего после перезагрузки системы мобильное устройство может работать не корректно. 
Рекомендации по удалению. 
Удаление файлов 
C:\ETel.dll 
C:\system\data\IloveLeslie\LeslieLoves.jpg 
C:\system\data\IloveLeslie\RecQWRD.mdl 
и восстановление исходного, не поврежденного файла системной библиотеки C:\ETel.dll 
Либо хард ресет, или смена прошивки телефона.

Viver.a 
Вредоносная программа для сматфонов, работающих под управлением ОС Symbian. 
Вредоносная программа представляет собой установочный SIS архив. 
Размер файла - 42962 байт. 
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать вредоносную программу через Internet или Bluetooth и подтвердить установку этого приложения к себе на смартфон. 
Вирус пытается замаскироваться под обычное приложение. Пользователь же, ничего не подозревая, может подтвердить установку. После установки вредоносной программы в диспетчере приложений появляется запись об установленной программе RulesViwer 
При инсталляции программа создает в телефоне следующие файлы: 
c:\system\apps\RulesViver\data.bin 
c:\system\apps\RulesViver\editor.dat 
c:\system\apps\RulesViver\photo.jfif 
c:\system\apps\RulesViver\RulesViver.aif 
c:\system\apps\RulesViver\RulesViver.app 
c:\system\apps\RulesViver\RulesViver.rsc 
RulesViver.app является исполняемым файлом формата EPOC и имеет размер 19132 байт. Это основной файл троянца. 
RulesViver.aif- иконка приложения. 
RulesViver.rsc- файл ресурсов программы. 
photo.jfif - рисунок, размер которого 176x208 пикселов. 
Файлы data.bin и editor.dat, предназначенные для того, чтобы закамуфлировать основное назначение вируса. 
Вредоносная программаRulesViver.sis является трояном.Основное назначение этой вредоносной программы -отсылка SMS на специальные платные номера, вследствие чего со счета владельца мобильного аппарата снимаются определенные суммы денег, часть которых поступает злоумышленнику. 
Для работы использует функции из следующих системных библиотек: 
APGRFX.DLL 
APPARC.DLL 
AVKON.DLL 
BAFL.DLL 
BITGDI.DLL 
CONE.DLL 
EFSRV.DLL 
EIKCORE.DLL 
ETEXT.DLL 
EUSER.DLL 
FBSCLI.DLL 
GSMU.DLL 
MSGS.DLL 
SMCM.DLL 
WS32.DLL 
Удаление: 
Для удаления вредоносной программы достаточно удалить файловым менеджером следующие файлы: 
c:\system\apps\RulesViver\data.bin 
c:\system\apps\RulesViver\editor.dat 
c:\system\apps\RulesViver\photo.jfif 
c:\system\apps\RulesViver\RulesViver.aif 
c:\system\apps\RulesViver\RulesViver.app 
c:\system\apps\RulesViver\RulesViver.rsc 
После чего перезагрузить мобильно устройство. 


Icons 
Троянская программа для мобильных аппаратов, работающих под управлением ОС Symbian. 
Вредоносная программа представляет собой SIS файл. 
Размер файла – 793 887 байта. 
Собственной процедуры распространения не имеет. 
Для заражения устройства пользователь должен сам скачать и запустить зловредное приложение. 
В процессе установки вредоносной программы выдается сообщение: 
Установить "ICONS" ? 
При инсталляции программа создает в телефоне 139 файлов. В результате после установки вредоносной программы происходит замена иконок системных и некоторых пользовательских приложений на поврежденные иконки. После чего программы не запускаются. Кроме поврежденных иконок на мобильное устройство устанавливается червь Cabir, который после перезагрузки телефона начинает передавать себя через Bluetooth. 
Список приложений, у которых происходит замена иконок: 
About 
AppInst 
AppMngr 
Autolock 
Browser 
BtUi 
Bva 
Calcsoft 
Calendar 
Camcorder 
CamTimer 
CbsUiApp 
CERTSAVER 
Chat 
ClockApp 
CodViewer 
ConnectionMonitorUi 
Converter 
Cshelp 
DdViewer 
FileManager 
GS 
ImageViewer 
Location 
Logs 
Mce 
MediaGallery 
MediaPlayer 
MediaSettings 
Menu 
Mmcapp 
MMM 
MmsEditor 
MmsViewer 
MsgMailEditor 
MsgMailViewer 
MusicPlayer 
Notepad 
NpdViewer 
NSmlDMSync 
NSmlDSSync 
Phone 
Phonebook 
Pinboard 
PRESENCE 
ProfileApp 
ProvisioningCx 
PSLN 
PushViewer 
Satui 
SchemeApp 
ScreenSaver 
Sdn 
SimDirectory 
SmsEditor 
SmsViewer 
Speeddial 
Startup 
SysAp 
ToDo 
Ussd 
VCommand 
Vm 
Voicerecorder 
WALLETAVMGMT 
WALLETAVOTA 
Удаление: 
Хард ресет,либо смена прошивки.

Категория: вирусы для телефонов | Добавил: neccasalmor (08.02.2009)
Просмотров: 2999 | Рейтинг: 4.8/4 |
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]
Форма входа
Поиск
Друзья сайта
Статистика

Онлайн всего: 1
Гостей: 1
Пользователей: 0

| Copyright MyCorp © 2024 | |