категории | RSS

SymbOS Yxes.A Принцип работы. Защита

Видимые симптомы:

* Неоднократные попытки вируса отправить SMS сообщения
O Быстрая потеря энергии аккумулятора
Аномально высокие телефонные счета
* Наличие следующиx файлов:

c:sysbinEConServer.exe
c:private101f875aimport[2001EB45].rsc
Анализ угроз

* Данный червь работает под SymbianOS S60 3rd Edition (например, Nokia 3250, N73). Он несет действующий сертификат, подписанный Symbian, и, таким образом, устанавливается безупречно на "нормальные" (не "взломанные") мобильные устройства, работающие под S60 3rd Edition.

* Червь собирает телефонные номера из зараженного устройства в списке контактов телефона, и неоднократно пытается отправить SMS сообщения на них. В сообщениях передается определенный веб-адрес, после клика на который, получатели загрузят себе копию червя .

* Помимо распространения на как можно большее число пользователей с помощью стратегии, упомянутые выше, червь ставит своей целью сбор информации о зараженной жертве (серийный номер телефона, номера ..), и отправляет ее на вредоносный сервер, вероятно, контролируемый киберпреступниками .

Технические детали

* Создает глобальную semaphore (не знаю что это значит) "EConServerSemaphore_0x2001EB45"

* Убивает следующие процессы:

O AppMngr
O TaskSpy
О Y-Задание
O ActiveFile
O Taskman

* Создает. SISX файл под названием "root.sisx" в "C: Data"

* Модифицирует файл "C: SYSTEM Data System.ini"

* Создает лог-файл с именем "mr.log"

* Пытается подключится к Интернету

* Пытается собрать следующую информацию от инфицированной системы:

O IMEI
O IMSI
O Тип телефона
О Номер телефона
O Версию

* Регистрирует себя при перезагрузке системы

Перевод и редактирование by Ghost -)

DimonVideo
2009-02-23T17:12:35Z
Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 51

#11   alexmaj467    

Дайте в личку. Ну или место где его найти.


0 ответить

#11   b1kmak    

Проверил вроде нет файлов, но помню была шляпа что тело писало идёт отправка сообщения, но я отменял всегда ! ! !N73


0 ответить

#11   --B_o_d_y_Z--    

По моему для отправки смс не надо особых капабилитис, там хватает обычного селфсигнед


0 ответить

#11   molosar    

7XxX7
Не пойму тока, как разработчик получил сертификатsmile

Это самое интересноесное в давнном вирусе, а уж никак не сам вирусsmile))


0 ответить

#11   St.FrantiC    

7XxX7, думаю это было не так уж сложно.

P.S. где скачать то вирек новый? smile


0 ответить

#11   7XxX7    

Не пойму тока, как разработчик получил сертификатsmile


0 ответить

#11   St.FrantiC    

Попреветствуем первенца! ))


0 ответить

#11   Yrok472    

Спасибо! вроде посмотрел у меня нет этих файлов! Кто может знать, последний каспер на симбе его запалит? где для тестирования скачать то можно, а то интересно! wink


0 ответить

#11   AJSmart    

Да надо на главной еще повесить.


0 ответить

#11   Ghost-ua    

Еще дамfellow
Кстати в статейке немного криво отбразились пути к файлам
c:\\sys\\bin\\EConServer.exe
c:\\private\\101f875a\\import\\[2001EB45].rsc


0 ответить

Яндекс.Метрика