категории | RSS

Здравствуйте!
Я хочу рассказать об одном мобильном вирусе... Думаю, многим будет интересно и полезно. Вирус именует себя 'МАЛЫШ' и поражает владельцев смартфонов под управлением Symbian OS 6/7/8.1, в которых установлен интерпретатор языка Python. Насколько я могу судить, вирус был запущен совсем недавно, хотя могу и ошибаться.
Буквально на днях, поставив на зарядку и включив свое устройство, я обнаружил значок отправляемого сообщения. Вроде бы никаких сообщений я никуда не посылал. К сожалению, посмотреть папки я не успел: на экране появилось окошко с нижеследующим сообщением:

"Baшe мoбильнoe ycтpoйcтвo пopaжeннo виpycoм "MAЛыШ" (MTC_VIRUS-BABY_PRESENTS)! Были yдaлeнны пaпки Images, Videos, Sounds... Kaждый paз, пpи пoпыткe cкpыть дaннoe oкнo, бyдeт yдaлятcя пpилoжeниe из диpeктopии Apps! K coжaлeнию, пocлe выключeния-пepeзaгpyзки, SymbianOS нe cмoжeт зaпycтитьcя. Oтфopмaтиpyйтe, пoжaлyйcтa, вaшe ycтpoйcтвo.

P.S. Бyдьтe внимaтeльны к ycтaнaвливaeмым пpилoжeниeм! Дaнный чepвь инcтaлиpoвaн в вaшeм cмapтфoнe нe кopыcти paди, a иcключитeльнo блaгoдapя вaшeй дoвepчивocти!

Copyright (c) CSM-101 2010"

Нажав клавишу 'Отмена', на пару секунд появилось новое окошко с сообщением, что программа Опера-мини была успешно удалена. Если честно, я все еще не воспринимал все происходящее всерьез. Нажав еще раз 'Отмена', я был уведомлен, что FGet также успешно удален. И я сделал то, чего делать был не должен: выключил смартфон... Запустить снова мне его так и не удалось.
Проанализировав ситуацию, я начал вспоминать, какие программы недавно устанавливал. Оказалось, что никаких программ я не устанавливал, а лазал я недавно в интернете, и заменил ImageDezinger на более старшую версию. Достав из телефона флэш-карту, через кардриддер я отыскал архив скачанной программы. Скинул сис-пакет товарищу в телефон (запускать свою флэшку побоялся), распаковали... Я был крайне удивлен, обнаружив в пакете явно посторонние файлы для установки. Поскольку я сам являюсь программистом, понять это было несложно: три папки на диске 'С' содержали файлы автозапуска, идентичные тем, что используют для для запуска еxе-рекламы при установке какой-либо программы. Никакой еxе-рекламы я не обнаружил. В в папке 'Dаtа' находилась подпапка 'vbmp', содержащая файлы 'start.pyc', 'vbmp.py' и экзешник 'boomboom.exe' (именно он запускается в то время, пока идет установка программы - так работают экзешники еxе-рекламы), который здесь запускает в фоновом режиме (т.е. не видно чере диспечет задач) интерпретатор Python. Открыв файл 'vbmp.py', сомнений, насчет того, что ЭТО, уже не было. Я увидел текст:

"""Creative Group CSM-101
Special for your devise from MTC (Connection People) on SymbianOS 6-8.1
Good like use!
Copyright (c) CSM-101 2010"""

и три строчки кода:

import start
start=start.STARTER()
start.start()

Точно такой же Copyright был в окне, которое я увидел, перед тем, как распрощался со своим смартом...
Сделав декомпиляцию файла 'start.pyc', я был крайне удивлен оригинальностью и способом реализации данного вируса. Долго нам пришлось помучаться, чтобы понять, что к чему...
В целях безопасности, я не буду приводить здесь ни алгоритма, ни тем более отдельных частей кода вируса - опишу лишь, что происходит и произойдет в вашем устройстве.
Тело вируса - это компилированый байт-код, который при этом еще и закодирован. Именно он прописывается в директории Libs, и впоследствии импортируется. Имя файла 'csm.pyc'.
Итак, во-первых: если вы являетесь абонентом сети КИЕВСТАР, можете вздохнуть спокойно - вирус не причинит вашему телефону абсолютно никакого вреда. Ну захотел так неизвестный хакер, фанат он данной связи. Остальным повезло меньше... Во-вторых: вирус начинает работать, уже при установке программы, на которой паразитирует. Объясню: программы, содержащие данного паразита (больше ничего не приходит на ум), 100% работоспособны! Просто злоумышленник их перепаковал, зашив в пакет маленькую тварь, которая классифицируется как WormTrojan. Итак, вместе с обычной программой вы, сами того не зная, устанавливаете и вирус. Первые признаки заражения: установка кончилась, а ваше устройство начало немного притормаживать - это вирус прописывает свое тело в вашей системе. Это будет длится недолго. Главная проблема заключается в том, что данного паразита крайне сложно выявить и деинсталировать! Казалось бы, что может быть проще: удалить из диспечера приложений программу, с которой, по идее, должен удалиться и червь, и делов-то! Только это вам не удастся: вирус еще при установке удаляет имя своего хозяина из директории Install, так что в диспечере вы не найдете установленной программы, а найти его в системе 'вручную' не представляется возможным. Дело в том, что паразит устанавливает себя не в папку Apps, куда ставятся все программы, а прописывает свое тело в папки и файлы под случайно сгенерированными именами. Так что если вы захотите установить какую-либо программу, и не подвергнуться заражению, вам прийдется распаковывать ее сис-пакет и если там имеются файлы, указанные в начале поста, принимать меры.
Но мы отвлеклись... Каждый раз при выключении и последующем включении или просто перезагрузке, вирус будет проверять, прошло ли двое суток с момента его инсталяции или нет. Если нет, он будет ждать. Это сделано, очевидно, с целью маскировки: за эти двое суток пользователь может скачать/установить еще массу приложений и файлов, и сложно будет однозначно сказать, что или кто явилось причиной заражения. По прошествии этого времени, паразит отправляет сообщение (сразу же удаляется вирусом при любом исходе) на номер (указывать не буду, так как это мог быть и ваш номер, а его хозяин понятия не имеет о том, кто мог сделать подобную гадость) с текстом '*Имя*! Прости меня! Я люблю тебя!'... Совсем, видимо, хакеры с игрушек съехали. Я общался с этой девушкой (номер удалось узнать у оператора), никаких предположений на счет злоумышленника у нее нет. Зато впечатлила цифра полученных ею сообщений! Вот это я называю любовь с особым цинизмом! На этом свою миссию считаю выполненной. Будь-те внимательны, господа!

HeaTTheatR
2010-11-26T16:04:52Z

Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 59

#59   cbymrjd    

Интересно, поставит ли эта статья точку в споре про то, что якобы вирусов на Symbian нет? Или кто-то ещё упорствовать будет?


0 ответить

#59   Shaver_G    

Доброго дня, друзья. Вот решил заглянуть в статьи и был приятно удивлен этой статьей). Подход к делу и цели у автора вируса однозначно самое оригинальное, что встречалось почитать... А код действительно вредоносный. Ведь, захоти автор, смс-ки на короткие номера полетели бы стаей...да и других печальных вариантов не стоить исключать... Статье .
З.Ы. Единственный 100 процентный антивирь - это наша голова. И никакой антивирь, и прочие разговоры НЕ СПАСУТ ВАШ СМАРТ, И ВАШИ ДАННЫЕ(КАКИЕ БЫ ОНИ НЕ БЫЛИ)! Просто это чрезмерно трудоемкий процесс. ИМХО.


0 ответить

#59   Atlantida008    

А возможно ли на питоне создать смс рассылку?типо a=8964000000 b=89649999999 и т.д?
-------------
Добавлено в 04.17: Если возможно дайте пример кода плизwinked


0 ответить

#59   gamer6630    

Когд читаю дошёл до места где говориться про удаление файлов я наматерилсяна всех хакеров мира от души так как сам сталкивался с подобной проблемой на 6630, и так же распаковой искал вирус, но когда дошёл до места где говориться о смс девушке мне стало жалко хакера, так как можно сказать что то подобное и я пережил. Короче если б тока смс хакера можно было бы простить, а так ...............


0 ответить

#59   Drfss07    

Интересно! Как \"Звездные войны\" почитал wink
Спасибо. laughing


0 ответить

#59   ATHF    

megapolis, да это не вирус, а вредный код, и всего-то. Антивирусы его распознать не смогут.
Sanek3107, озлоблен видать) Или просто считает шутку смешной.


0 ответить

#59   Sanek3107    

Оригинально решил извиниться парень. Вот тока нафиг файлы и проги то удалят


0 ответить

#59   HeaTTheatR    

megapolis,
Какой комп? У меня мобильный...


0 ответить

#59   nonamezxx    

ну все для 9 ничего не выпускают, даже вирусы:D


0 ответить

#59   megapolis    

вир привосходен и поразил своей работой =) а как же комп он не распознает вир при проверке данного устройства ???


0 ответить

Яндекс.Метрика