Мобильная вирусология
Мобильные телефоны стремительно умнеют; смартфоны и прочие Bluetooth-гаджеты получают все более широкое распространение. Этот процесс столь же естественен, как и технический прогресс в целом. Издержки этого прогресса, как водится, "идут в комплекте" — ими становятся вирусы для мобильных устройств. Уже в нынешнем марте появилась новая, самая опасная, разновидность вируса для мобильных телефонов. Опасность ее в том, что в качестве канала распространения заразы используется MMS.
Вредоносная программа получила название CommWarrior и поражает телефоны Nokia серии 60 на базе операционной системы Symbian. Схема
распространения вируса отличается от схемы распространения уже известного мобильного вируса Cabir, который пытается проникнуть в ОС по внешнему интерфейсу под видом устанавливаемой программы. CommWarrior подобно почтовому червю приходит в виде входящего MMS-сообщения с вложенным медиафайлом: картинкой, аудио- или видеозаписью. Существует 20 разных вариантов текста письма, с помощью которых вирус пытается вынудить пользователя открыть вложение, которое содержит исполняемый код, эксплуатирующий уязвимость операционной системы.
Как сообщается на сайте компании Symantec, Commwarrior распространяется как файл с произвольным названием и расширением .sis. Он рассылается по контактам в адресной книге зараженного телефона. Кроме того, в качестве канала распространения используется Bluetooth. При установке на телефон вирус создает следующие файлы:
systemappscommwarriorcommwarrior.exe
systemappscommwarriorcommrec.mdl
systemupdatescommwarrior.exe (24516 байт)
systemupdatescommrec.mdl (2152 байт)
systemupdatescommw.sis (27162 байт).
Разница между версиями A и B заключается только в размере копируемых в систему файлов. После установки вируса файл commwarrior.exe попадает в автозагрузку. Вирус производит поиск других устройств с поддержкой Bluetooth и с периодичностью раз в минуту посылает им свою копию. В результате у пораженного телефона быстро расходуется заряд аккумулятора. Кроме того, Commwarrior выбирает до 256 контактов из адресной книги и посылает MMS с вложением, где в качестве темы сообщается о пересылке драйверов для игр, картинок эротического содержания, эмуляторов MS-DOS, обновлений модулей безопасности и прочего интересного ПО. На данный момент зарегистрировано не более нескольких десятков случаев заражения новым вирусом, так что пока угроза эпидемии находится на относительно низком уровне. Тем не менее, создатели антивирусного ПО поспешили обнародовать рекомендации по предотвращению заражения и удалению вируса из системы. В первую очередь, рекомендуется скачивать только те файлы, в происхождении которых пользователь уверен: если при получении MMS с вирусом вложение не открывать, заражения не произойдет. Также нужно отключать функционирование Bluetooth, когда в нем нет необходимости, или ставить устройство в режим недоступности для обнаружения другими Bluetooth-гаджетами. Эксперты по информационной безопасности единогласно определяют появление Commwarrior как очередной прорыв в искусстве создания вирусов. Как сказал по этому поводу директор финской компании F-Secure Микко Хиппонен, "сам по себе новый вирус не является большой проблемой, но он знаменует собой новую эру". Это первый вирус подобного рода, и его появление, по мнению специалистов, свидетельствует о нарастающей угрозе безопасности портативных компьютерных устройств, которые ранее считались свободными от подобных угроз. CommWarrior, вероятно, имеет российское происхождение, так как в его теле обнаружена строка "OTMOP03KAM HET!".
Впрочем, это уже далеко не первый "выход на сцену" вируса для мобильных устройств. Достаточно вспомнить появление в канун Нового года вируса для смартфонов на платформе Symbian (в то время таковых насчитывалось более 20 миллионов). Вредоносный код, скрывавшийся под личиной мобильной версии игры Metal Gear Gold, оказался весьма опасен, поскольку перед началом процедуры инфицирования телефона и своего распространения отключал антивирусное ПО. Подробности той истории таковы: при инсталляции на смартфон файла METAL Gear.sis вирус отключал установленные антивирусные программы, все проводники файлов и ряд других приложений. Затем на телефон инсталлировался Cabir.G — один из вариантов троянца Skulls. После инсталляции троянец начинал через порт Bluetooth искать другие телефоны, которые также можно инфицировать. Обнаружив подходящий, он направлял на него файл SEXXXY.sis. Если владелец телефона не блокировал пересылку файла, вирус отключал работу кнопки "выбор" (select) на телефоне. Компании, специализирующиеся на разработке антивирусов и обеспечении безопасности, отреагировали достаточно быстро, создав собственные средства борьбы с новой напастью. Компания Symworks выпустила новую версию своей антивирусной программы для платформы Symbian, в которую были включены средства борьбы с новым троянцем, а F-Secure обнародовала ряд ключевых сведений о нем. А еще раньше, в июне 2004 года, появился вирус Cabir, способный самостоятельно "разбрасывать" свои копии на другие мобильные устройства, используя для этого протокол Bluetooth. Затем появилась игра Mosquito для телефонов на базе все той же злосчастной платформы Symbian, которая самопроизвольно, не спрашивая разрешения владельца, осуществляла звонки по особым дорогим тарифам. В ноябре же появился троянец Skulls, способный практически вывести мобильный телефон из строя. И еще один троянец — Qdial26. Он не вредит системе, зато шлет SMS-сообщения на платный номер, зарегистрированный в Великобритании. Каждое такое сообщение обходится невольному отправителю в 1,5 фунта стерлингов (примерно $2,8).
Итак, нашей информационной цивилизации угрожает новая напасть — "мобильные" вирусы. Впрочем, большинство специалистов по информбезопасности считает, что бить глобальную тревогу по этому поводу пока рано. По крайней мере, от вирусов, передающихся по Bluetooth, есть радикальное средство защиты: отключить функцию, которая позволяет "видеть" аппарат другим устройствам, использующим беспроводную связь. Однако пессимисты (а таковых тоже нашлось немало) считают опасность, исходящую от вирусов для мобильных устройств, весьма серьезной. Например, в "Лаборатории Касперского" считают, что распространение вредоносных программ на смартфонах может в перспективе иметь примерно такие же последствия, какие когда-то вызвали вирусы на обычных "персоналках".
Денис Лавникевич
Вредоносная программа получила название CommWarrior и поражает телефоны Nokia серии 60 на базе операционной системы Symbian. Схема
распространения вируса отличается от схемы распространения уже известного мобильного вируса Cabir, который пытается проникнуть в ОС по внешнему интерфейсу под видом устанавливаемой программы. CommWarrior подобно почтовому червю приходит в виде входящего MMS-сообщения с вложенным медиафайлом: картинкой, аудио- или видеозаписью. Существует 20 разных вариантов текста письма, с помощью которых вирус пытается вынудить пользователя открыть вложение, которое содержит исполняемый код, эксплуатирующий уязвимость операционной системы.
Как сообщается на сайте компании Symantec, Commwarrior распространяется как файл с произвольным названием и расширением .sis. Он рассылается по контактам в адресной книге зараженного телефона. Кроме того, в качестве канала распространения используется Bluetooth. При установке на телефон вирус создает следующие файлы:
systemappscommwarriorcommwarrior.exe
systemappscommwarriorcommrec.mdl
systemupdatescommwarrior.exe (24516 байт)
systemupdatescommrec.mdl (2152 байт)
systemupdatescommw.sis (27162 байт).
Разница между версиями A и B заключается только в размере копируемых в систему файлов. После установки вируса файл commwarrior.exe попадает в автозагрузку. Вирус производит поиск других устройств с поддержкой Bluetooth и с периодичностью раз в минуту посылает им свою копию. В результате у пораженного телефона быстро расходуется заряд аккумулятора. Кроме того, Commwarrior выбирает до 256 контактов из адресной книги и посылает MMS с вложением, где в качестве темы сообщается о пересылке драйверов для игр, картинок эротического содержания, эмуляторов MS-DOS, обновлений модулей безопасности и прочего интересного ПО. На данный момент зарегистрировано не более нескольких десятков случаев заражения новым вирусом, так что пока угроза эпидемии находится на относительно низком уровне. Тем не менее, создатели антивирусного ПО поспешили обнародовать рекомендации по предотвращению заражения и удалению вируса из системы. В первую очередь, рекомендуется скачивать только те файлы, в происхождении которых пользователь уверен: если при получении MMS с вирусом вложение не открывать, заражения не произойдет. Также нужно отключать функционирование Bluetooth, когда в нем нет необходимости, или ставить устройство в режим недоступности для обнаружения другими Bluetooth-гаджетами. Эксперты по информационной безопасности единогласно определяют появление Commwarrior как очередной прорыв в искусстве создания вирусов. Как сказал по этому поводу директор финской компании F-Secure Микко Хиппонен, "сам по себе новый вирус не является большой проблемой, но он знаменует собой новую эру". Это первый вирус подобного рода, и его появление, по мнению специалистов, свидетельствует о нарастающей угрозе безопасности портативных компьютерных устройств, которые ранее считались свободными от подобных угроз. CommWarrior, вероятно, имеет российское происхождение, так как в его теле обнаружена строка "OTMOP03KAM HET!".
Впрочем, это уже далеко не первый "выход на сцену" вируса для мобильных устройств. Достаточно вспомнить появление в канун Нового года вируса для смартфонов на платформе Symbian (в то время таковых насчитывалось более 20 миллионов). Вредоносный код, скрывавшийся под личиной мобильной версии игры Metal Gear Gold, оказался весьма опасен, поскольку перед началом процедуры инфицирования телефона и своего распространения отключал антивирусное ПО. Подробности той истории таковы: при инсталляции на смартфон файла METAL Gear.sis вирус отключал установленные антивирусные программы, все проводники файлов и ряд других приложений. Затем на телефон инсталлировался Cabir.G — один из вариантов троянца Skulls. После инсталляции троянец начинал через порт Bluetooth искать другие телефоны, которые также можно инфицировать. Обнаружив подходящий, он направлял на него файл SEXXXY.sis. Если владелец телефона не блокировал пересылку файла, вирус отключал работу кнопки "выбор" (select) на телефоне. Компании, специализирующиеся на разработке антивирусов и обеспечении безопасности, отреагировали достаточно быстро, создав собственные средства борьбы с новой напастью. Компания Symworks выпустила новую версию своей антивирусной программы для платформы Symbian, в которую были включены средства борьбы с новым троянцем, а F-Secure обнародовала ряд ключевых сведений о нем. А еще раньше, в июне 2004 года, появился вирус Cabir, способный самостоятельно "разбрасывать" свои копии на другие мобильные устройства, используя для этого протокол Bluetooth. Затем появилась игра Mosquito для телефонов на базе все той же злосчастной платформы Symbian, которая самопроизвольно, не спрашивая разрешения владельца, осуществляла звонки по особым дорогим тарифам. В ноябре же появился троянец Skulls, способный практически вывести мобильный телефон из строя. И еще один троянец — Qdial26. Он не вредит системе, зато шлет SMS-сообщения на платный номер, зарегистрированный в Великобритании. Каждое такое сообщение обходится невольному отправителю в 1,5 фунта стерлингов (примерно $2,8).
Итак, нашей информационной цивилизации угрожает новая напасть — "мобильные" вирусы. Впрочем, большинство специалистов по информбезопасности считает, что бить глобальную тревогу по этому поводу пока рано. По крайней мере, от вирусов, передающихся по Bluetooth, есть радикальное средство защиты: отключить функцию, которая позволяет "видеть" аппарат другим устройствам, использующим беспроводную связь. Однако пессимисты (а таковых тоже нашлось немало) считают опасность, исходящую от вирусов для мобильных устройств, весьма серьезной. Например, в "Лаборатории Касперского" считают, что распространение вредоносных программ на смартфонах может в перспективе иметь примерно такие же последствия, какие когда-то вызвали вирусы на обычных "персоналках".
Денис Лавникевич
Компьютерная газета. Статья была опубликована в номере 11 за 2005 год в рубрике безопасность :: разное
