категории | RSS

Здравствуйте!
Я хочу рассказать об одном мобильном вирусе... Думаю, многим будет интересно и полезно. Вирус именует себя 'МАЛЫШ' и поражает владельцев смартфонов под управлением Symbian OS 6/7/8.1, в которых установлен интерпретатор языка Python. Насколько я могу судить, вирус был запущен совсем недавно, хотя могу и ошибаться.
Буквально на днях, поставив на зарядку и включив свое устройство, я обнаружил значок отправляемого сообщения. Вроде бы никаких сообщений я никуда не посылал. К сожалению, посмотреть папки я не успел: на экране появилось окошко с нижеследующим сообщением:

"Baшe мoбильнoe ycтpoйcтвo пopaжeннo виpycoм "MAЛыШ" (MTC_VIRUS-BABY_PRESENTS)! Были yдaлeнны пaпки Images, Videos, Sounds... Kaждый paз, пpи пoпыткe cкpыть дaннoe oкнo, бyдeт yдaлятcя пpилoжeниe из диpeктopии Apps! K coжaлeнию, пocлe выключeния-пepeзaгpyзки, SymbianOS нe cмoжeт зaпycтитьcя. Oтфopмaтиpyйтe, пoжaлyйcтa, вaшe ycтpoйcтвo.

P.S. Бyдьтe внимaтeльны к ycтaнaвливaeмым пpилoжeниeм! Дaнный чepвь инcтaлиpoвaн в вaшeм cмapтфoнe нe кopыcти paди, a иcключитeльнo блaгoдapя вaшeй дoвepчивocти!

Copyright (c) CSM-101 2010"

Нажав клавишу 'Отмена', на пару секунд появилось новое окошко с сообщением, что программа Опера-мини была успешно удалена. Если честно, я все еще не воспринимал все происходящее всерьез. Нажав еще раз 'Отмена', я был уведомлен, что FGet также успешно удален. И я сделал то, чего делать был не должен: выключил смартфон... Запустить снова мне его так и не удалось.
Проанализировав ситуацию, я начал вспоминать, какие программы недавно устанавливал. Оказалось, что никаких программ я не устанавливал, а лазал я недавно в интернете, и заменил ImageDezinger на более старшую версию. Достав из телефона флэш-карту, через кардриддер я отыскал архив скачанной программы. Скинул сис-пакет товарищу в телефон (запускать свою флэшку побоялся), распаковали... Я был крайне удивлен, обнаружив в пакете явно посторонние файлы для установки. Поскольку я сам являюсь программистом, понять это было несложно: три папки на диске 'С' содержали файлы автозапуска, идентичные тем, что используют для для запуска еxе-рекламы при установке какой-либо программы. Никакой еxе-рекламы я не обнаружил. В в папке 'Dаtа' находилась подпапка 'vbmp', содержащая файлы 'start.pyc', 'vbmp.py' и экзешник 'boomboom.exe' (именно он запускается в то время, пока идет установка программы - так работают экзешники еxе-рекламы), который здесь запускает в фоновом режиме (т.е. не видно чере диспечет задач) интерпретатор Python. Открыв файл 'vbmp.py', сомнений, насчет того, что ЭТО, уже не было. Я увидел текст:

"""Creative Group CSM-101
Special for your devise from MTC (Connection People) on SymbianOS 6-8.1
Good like use!
Copyright (c) CSM-101 2010"""

и три строчки кода:

import start
start=start.STARTER()
start.start()

Точно такой же Copyright был в окне, которое я увидел, перед тем, как распрощался со своим смартом...
Сделав декомпиляцию файла 'start.pyc', я был крайне удивлен оригинальностью и способом реализации данного вируса. Долго нам пришлось помучаться, чтобы понять, что к чему...
В целях безопасности, я не буду приводить здесь ни алгоритма, ни тем более отдельных частей кода вируса - опишу лишь, что происходит и произойдет в вашем устройстве.
Тело вируса - это компилированый байт-код, который при этом еще и закодирован. Именно он прописывается в директории Libs, и впоследствии импортируется. Имя файла 'csm.pyc'.
Итак, во-первых: если вы являетесь абонентом сети КИЕВСТАР, можете вздохнуть спокойно - вирус не причинит вашему телефону абсолютно никакого вреда. Ну захотел так неизвестный хакер, фанат он данной связи. Остальным повезло меньше... Во-вторых: вирус начинает работать, уже при установке программы, на которой паразитирует. Объясню: программы, содержащие данного паразита (больше ничего не приходит на ум), 100% работоспособны! Просто злоумышленник их перепаковал, зашив в пакет маленькую тварь, которая классифицируется как WormTrojan. Итак, вместе с обычной программой вы, сами того не зная, устанавливаете и вирус. Первые признаки заражения: установка кончилась, а ваше устройство начало немного притормаживать - это вирус прописывает свое тело в вашей системе. Это будет длится недолго. Главная проблема заключается в том, что данного паразита крайне сложно выявить и деинсталировать! Казалось бы, что может быть проще: удалить из диспечера приложений программу, с которой, по идее, должен удалиться и червь, и делов-то! Только это вам не удастся: вирус еще при установке удаляет имя своего хозяина из директории Install, так что в диспечере вы не найдете установленной программы, а найти его в системе 'вручную' не представляется возможным. Дело в том, что паразит устанавливает себя не в папку Apps, куда ставятся все программы, а прописывает свое тело в папки и файлы под случайно сгенерированными именами. Так что если вы захотите установить какую-либо программу, и не подвергнуться заражению, вам прийдется распаковывать ее сис-пакет и если там имеются файлы, указанные в начале поста, принимать меры.
Но мы отвлеклись... Каждый раз при выключении и последующем включении или просто перезагрузке, вирус будет проверять, прошло ли двое суток с момента его инсталяции или нет. Если нет, он будет ждать. Это сделано, очевидно, с целью маскировки: за эти двое суток пользователь может скачать/установить еще массу приложений и файлов, и сложно будет однозначно сказать, что или кто явилось причиной заражения. По прошествии этого времени, паразит отправляет сообщение (сразу же удаляется вирусом при любом исходе) на номер (указывать не буду, так как это мог быть и ваш номер, а его хозяин понятия не имеет о том, кто мог сделать подобную гадость) с текстом '*Имя*! Прости меня! Я люблю тебя!'... Совсем, видимо, хакеры с игрушек съехали. Я общался с этой девушкой (номер удалось узнать у оператора), никаких предположений на счет злоумышленника у нее нет. Зато впечатлила цифра полученных ею сообщений! Вот это я называю любовь с особым цинизмом! На этом свою миссию считаю выполненной. Будь-те внимательны, господа!

HeaTTheatR
2010-11-26T16:04:52Z

Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 59

#19   kolayuk    

ололо, вирус на питоне? Извините, это не вирус а фигня. Вот в линуксах другое дело, там питон искаропки идет, но там это нафиг никому не надо


0 ответить

#19   dj-avtosh    

Напишут китайцы аналогичный чекер для этих вирусов. И крышка.


0 ответить

#19   VIP666VIP    

Змеей тело не убить - факт. Формать 3мя кнопками, а от автозапуска помогает карандаш при старте.....


0 ответить

#19   chaos82    

ахах, вирусописатель классный, с юмором парень :D хотел бы я про него почитать)


0 ответить

#19   AllDead    

Да, а за предупреждение спасибо, кстати. Надо загружаемые файлы проверять почаще.


0 ответить

#19   New9    

NEONZARIN, что хорошего в том что у тебя 9ка, вполне реально написать подобное и на 9ку.
Скажу по секрету, когда-то писал "вирус" всего ~10 строчек кода в приложение на питоне для 9ки и при каждой загрузке будут удаляться контактыsmile


0 ответить

#19   artoroman    

Хочу вирус!


0 ответить

#19   NEONZARIN    

Нда, хорошо что я на 9оси сижу, а на 6660 ничё щяс не качаю, на столе валяеться гг


0 ответить

#19   Wo111and    

хоть я и не прогер но валяется гдето у Меня очень вредный код на питоне для отправления сообщений именно для девятки!!! (делится им Я не собираюсь) Так что будьте бдительны и качайте лучше файлы с офф.сайтов или проверенных источников!!!


1 ответить

#19   AllDead    

SQR, я интересуюсь, можно ли запускать код на питоне из произвольного расположения, или все же нужна запись в sys? Во втором случае вирусу потребуется TCB. А в первом случае получается неприятная уязвимость в интерпретаторе Питона.


* редактировал(а) AllDead 02:41 27 ноя 2010

0 ответить

Яндекс.Метрика