категории | RSS

Здравствуйте!
Я хочу рассказать об одном мобильном вирусе... Думаю, многим будет интересно и полезно. Вирус именует себя 'МАЛЫШ' и поражает владельцев смартфонов под управлением Symbian OS 6/7/8.1, в которых установлен интерпретатор языка Python. Насколько я могу судить, вирус был запущен совсем недавно, хотя могу и ошибаться.
Буквально на днях, поставив на зарядку и включив свое устройство, я обнаружил значок отправляемого сообщения. Вроде бы никаких сообщений я никуда не посылал. К сожалению, посмотреть папки я не успел: на экране появилось окошко с нижеследующим сообщением:

"Baшe мoбильнoe ycтpoйcтвo пopaжeннo виpycoм "MAЛыШ" (MTC_VIRUS-BABY_PRESENTS)! Были yдaлeнны пaпки Images, Videos, Sounds... Kaждый paз, пpи пoпыткe cкpыть дaннoe oкнo, бyдeт yдaлятcя пpилoжeниe из диpeктopии Apps! K coжaлeнию, пocлe выключeния-пepeзaгpyзки, SymbianOS нe cмoжeт зaпycтитьcя. Oтфopмaтиpyйтe, пoжaлyйcтa, вaшe ycтpoйcтвo.

P.S. Бyдьтe внимaтeльны к ycтaнaвливaeмым пpилoжeниeм! Дaнный чepвь инcтaлиpoвaн в вaшeм cмapтфoнe нe кopыcти paди, a иcключитeльнo блaгoдapя вaшeй дoвepчивocти!

Copyright (c) CSM-101 2010"

Нажав клавишу 'Отмена', на пару секунд появилось новое окошко с сообщением, что программа Опера-мини была успешно удалена. Если честно, я все еще не воспринимал все происходящее всерьез. Нажав еще раз 'Отмена', я был уведомлен, что FGet также успешно удален. И я сделал то, чего делать был не должен: выключил смартфон... Запустить снова мне его так и не удалось.
Проанализировав ситуацию, я начал вспоминать, какие программы недавно устанавливал. Оказалось, что никаких программ я не устанавливал, а лазал я недавно в интернете, и заменил ImageDezinger на более старшую версию. Достав из телефона флэш-карту, через кардриддер я отыскал архив скачанной программы. Скинул сис-пакет товарищу в телефон (запускать свою флэшку побоялся), распаковали... Я был крайне удивлен, обнаружив в пакете явно посторонние файлы для установки. Поскольку я сам являюсь программистом, понять это было несложно: три папки на диске 'С' содержали файлы автозапуска, идентичные тем, что используют для для запуска еxе-рекламы при установке какой-либо программы. Никакой еxе-рекламы я не обнаружил. В в папке 'Dаtа' находилась подпапка 'vbmp', содержащая файлы 'start.pyc', 'vbmp.py' и экзешник 'boomboom.exe' (именно он запускается в то время, пока идет установка программы - так работают экзешники еxе-рекламы), который здесь запускает в фоновом режиме (т.е. не видно чере диспечет задач) интерпретатор Python. Открыв файл 'vbmp.py', сомнений, насчет того, что ЭТО, уже не было. Я увидел текст:

"""Creative Group CSM-101
Special for your devise from MTC (Connection People) on SymbianOS 6-8.1
Good like use!
Copyright (c) CSM-101 2010"""

и три строчки кода:

import start
start=start.STARTER()
start.start()

Точно такой же Copyright был в окне, которое я увидел, перед тем, как распрощался со своим смартом...
Сделав декомпиляцию файла 'start.pyc', я был крайне удивлен оригинальностью и способом реализации данного вируса. Долго нам пришлось помучаться, чтобы понять, что к чему...
В целях безопасности, я не буду приводить здесь ни алгоритма, ни тем более отдельных частей кода вируса - опишу лишь, что происходит и произойдет в вашем устройстве.
Тело вируса - это компилированый байт-код, который при этом еще и закодирован. Именно он прописывается в директории Libs, и впоследствии импортируется. Имя файла 'csm.pyc'.
Итак, во-первых: если вы являетесь абонентом сети КИЕВСТАР, можете вздохнуть спокойно - вирус не причинит вашему телефону абсолютно никакого вреда. Ну захотел так неизвестный хакер, фанат он данной связи. Остальным повезло меньше... Во-вторых: вирус начинает работать, уже при установке программы, на которой паразитирует. Объясню: программы, содержащие данного паразита (больше ничего не приходит на ум), 100% работоспособны! Просто злоумышленник их перепаковал, зашив в пакет маленькую тварь, которая классифицируется как WormTrojan. Итак, вместе с обычной программой вы, сами того не зная, устанавливаете и вирус. Первые признаки заражения: установка кончилась, а ваше устройство начало немного притормаживать - это вирус прописывает свое тело в вашей системе. Это будет длится недолго. Главная проблема заключается в том, что данного паразита крайне сложно выявить и деинсталировать! Казалось бы, что может быть проще: удалить из диспечера приложений программу, с которой, по идее, должен удалиться и червь, и делов-то! Только это вам не удастся: вирус еще при установке удаляет имя своего хозяина из директории Install, так что в диспечере вы не найдете установленной программы, а найти его в системе 'вручную' не представляется возможным. Дело в том, что паразит устанавливает себя не в папку Apps, куда ставятся все программы, а прописывает свое тело в папки и файлы под случайно сгенерированными именами. Так что если вы захотите установить какую-либо программу, и не подвергнуться заражению, вам прийдется распаковывать ее сис-пакет и если там имеются файлы, указанные в начале поста, принимать меры.
Но мы отвлеклись... Каждый раз при выключении и последующем включении или просто перезагрузке, вирус будет проверять, прошло ли двое суток с момента его инсталяции или нет. Если нет, он будет ждать. Это сделано, очевидно, с целью маскировки: за эти двое суток пользователь может скачать/установить еще массу приложений и файлов, и сложно будет однозначно сказать, что или кто явилось причиной заражения. По прошествии этого времени, паразит отправляет сообщение (сразу же удаляется вирусом при любом исходе) на номер (указывать не буду, так как это мог быть и ваш номер, а его хозяин понятия не имеет о том, кто мог сделать подобную гадость) с текстом '*Имя*! Прости меня! Я люблю тебя!'... Совсем, видимо, хакеры с игрушек съехали. Я общался с этой девушкой (номер удалось узнать у оператора), никаких предположений на счет злоумышленника у нее нет. Зато впечатлила цифра полученных ею сообщений! Вот это я называю любовь с особым цинизмом! На этом свою миссию считаю выполненной. Будь-те внимательны, господа!

HeaTTheatR
2010-11-26T16:04:52Z

Здесь находятся
всего 0. За сутки здесь было 0 человек

Комментарии 59

#9   HeaTTheatR    

SQR,
А что такое ТСВ?


0 ответить

#9   SQR    

AllDead,
Почему эт?


0 ответить

#9   AllDead    

На девятке без TCB такой фокус не пройдет, как я понимаю?


0 ответить

#9   HeaTTheatR    

Angel-iz-Ada,
Около ста сообщений, которые приходят до сих пор ежедневно. Страшно подумать, что будет, если хакер портирует его в самостоятельный *аpp или jаr-приложение...


0 ответить

#9   Angel-iz-Ada    

автор, а какая впечатляющая цифра была?))


0 ответить

#9   x-p3rt    

че т я не до конца догнал очем речь  Показать / Скрыть текст


0 ответить

#9   BodyZ    

Да уж, кул-хацкер-кун крайне оригинален.


0 ответить

#9   WORLD-SMART    

Мне понравилось. Оригинально-познавательная статья.


0 ответить

#9   a.m.m    

Не поленился же кто то с\"оригинальничать на ветеранскую ось.


1 ответить

Яндекс.Метрика