категории | RSS

SymbOS Yxes.A Принцип работы. Защита

Видимые симптомы:

* Неоднократные попытки вируса отправить SMS сообщения
O Быстрая потеря энергии аккумулятора
Аномально высокие телефонные счета
* Наличие следующиx файлов:

c:sysbinEConServer.exe
c:private101f875aimport[2001EB45].rsc
Анализ угроз

* Данный червь работает под SymbianOS S60 3rd Edition (например, Nokia 3250, N73). Он несет действующий сертификат, подписанный Symbian, и, таким образом, устанавливается безупречно на "нормальные" (не "взломанные") мобильные устройства, работающие под S60 3rd Edition.

* Червь собирает телефонные номера из зараженного устройства в списке контактов телефона, и неоднократно пытается отправить SMS сообщения на них. В сообщениях передается определенный веб-адрес, после клика на который, получатели загрузят себе копию червя .

* Помимо распространения на как можно большее число пользователей с помощью стратегии, упомянутые выше, червь ставит своей целью сбор информации о зараженной жертве (серийный номер телефона, номера ..), и отправляет ее на вредоносный сервер, вероятно, контролируемый киберпреступниками .

Технические детали

* Создает глобальную semaphore (не знаю что это значит) "EConServerSemaphore_0x2001EB45"

* Убивает следующие процессы:

O AppMngr
O TaskSpy
О Y-Задание
O ActiveFile
O Taskman

* Создает. SISX файл под названием "root.sisx" в "C: Data"

* Модифицирует файл "C: SYSTEM Data System.ini"

* Создает лог-файл с именем "mr.log"

* Пытается подключится к Интернету

* Пытается собрать следующую информацию от инфицированной системы:

O IMEI
O IMSI
O Тип телефона
О Номер телефона
O Версию

* Регистрирует себя при перезагрузке системы

Перевод и редактирование by Ghost -)

DimonVideo
2009-02-23T17:12:35Z

Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 51

#21   Ghost-ua    


Цитата: 92MOHAX92
Вчера прочитал обширней можно сказать статью на www.xaker.ru/post/47238/default.asp

ЫЫЫыыыыЫ если она обширней, то я покемон убийца


0 ответить

#21   alexmaj467    

хорошо что выложили от куда была взята. Да это бред полный. Только начало статьи F-Sеcurе зафиксировали ЭПИДЕМИЮ. зайдите к ним на сайт. Там в начале 2006 они тоже фиксировали эпидемию на 9.1 это все специально для получения новых покупателей их антивируса.
также взять в пример те программы подразумевающие те процессы. Да им лет больше чем моему телефону.
-------------
Добавлено в 18.51: паника не ВИРУС. это прикол . Не назвать его вирусом. Посмотри файлы что нутри. Если ты не знаешь файловую систему то ни чего не поймешь. А если знаешь то это замена твоих файлов. На не нужные. Таким образом ты потерял ту информацию что была.
С таким же успехом я тебе свою тел книгу кину. Ты заменишь. И все твои поменяются на мои. Это же не вирус.


0 ответить

#21   baur_91    

Какой он первый?Есть вирус Pan1ca для 9ки.Кому нужно могу дать ссылку.Но он смсы не шлет.


0 ответить

#21   Syrymbatyr    

Есть софт от Евгения и голова на плечах.Не думаю этот червь заразит мой телефон


0 ответить

#21   92MOHAX92    

Вчера прочитал обширней можно сказать статью на www.xaker.ru/post/47238/default.asp Автор молодец, объяснил подробней Статья настоящая, т.е. источник www.webplanet.ru я сам хотел выложить вчера, да мне еще срок не подошел, эх...


* редактировал(а) 92MOHAX92 23 февраля 2009

0 ответить

#21   alexmaj467    

вобще честно. Что он уж стар.
даже по процессам посмотреть.
Во первых все эти процессы точнее программы могут его удалить.
Вторыми ДВУМЯ уже не пользуются 70% пользователей.
Jbака почему не убивает.
Программа то тоже не из новых.
хотя с другой стороны убейте для наглядного примера АррМngr. У вас такой тормоз будет . Что я не уверен что он чет отошлет вобще . Может через час и сможет. Одно отослать.


0 ответить

#21   St.FrantiC    

Ребят, у меня сложилось впечатление что это все гон. Статья статьей, а сам вирус ГДЕ??? Найдете выложите, иои в личку дайте. Спасибо.


0 ответить

#21   vasilek_gorbunok    

в названии статьи упомянуто про Защиту, а по тексту только про вирь.
Так че с защитой? Не ставить что попало)))


0 ответить

#21   bdlll1llp    

вот оно начало))) вирус на симбу 9)) мне страшно уж

а кто автор оригинальной статьи?


0 ответить

#21   TheOnlyOne    

осталось забацать в обменнике раздел симбиан 9 - вирусы)
интересно как его подписали...


0 ответить

#21   alexmaj467    

Дайте в личку. Ну или место где его найти.


0 ответить

#21   b1kmak    

Проверил вроде нет файлов, но помню была шляпа что тело писало идёт отправка сообщения, но я отменял всегда ! ! !N73


0 ответить

#21   --B_o_d_y_Z--    

По моему для отправки смс не надо особых капабилитис, там хватает обычного селфсигнед


0 ответить

#21   molosar    

7XxX7
Не пойму тока, как разработчик получил сертификатsmile

Это самое интересноесное в давнном вирусе, а уж никак не сам вирусsmile))


0 ответить

#21   St.FrantiC    

7XxX7, думаю это было не так уж сложно.

P.S. где скачать то вирек новый? smile


0 ответить

#21   7XxX7    

Не пойму тока, как разработчик получил сертификатsmile


0 ответить

#21   St.FrantiC    

Попреветствуем первенца! ))


0 ответить

#21   Yrok472    

Спасибо! вроде посмотрел у меня нет этих файлов! Кто может знать, последний каспер на симбе его запалит? где для тестирования скачать то можно, а то интересно! wink


0 ответить

#21   AJSmart    

Да надо на главной еще повесить.


0 ответить

#21   Ghost-ua    

Еще дамfellow
Кстати в статейке немного криво отбразились пути к файлам
c:\\sys\\bin\\EConServer.exe
c:\\private\\101f875a\\import\\[2001EB45].rsc


0 ответить