"Червивый" КПК

Hi-Tech

Спецвыпуск: Хакер, номер #059, стр. 059-044-3

Если пользователь сам соглашался (а он почти всегда делал именно так, только непонятно почему), вирус искал в корне (my device) исполняемые файлы размером больше четырех килобайт и написанные под процессор ARM, затем дописывал себя в последнюю секцию каждого из найденных файлов, установив точку входа на свое начало. При этом в одно из неиспользуемых полей PE-заголовка вставлялась сигнатура "atar".

Первый троян для КПК

В августе 2004 года появилась первая троянская программа под КПК, позволяющая злоумышленнику удаленно контролировать мобильный девайс, когда он в онлайне.

В базах "Лаборатории Касперского" вирус обозначили как Backdoor.WinCE.Brador.a. При заражении в директории автозапуска WindowsCE (\Windows\StartUp\) с именем svchost.exe размером 5632 байта. Когда PDA выходит в онлайн, вирусописателю по электронной почте отправляется письмо, содержащее IP-адрес. Затем для удаленного администрирования открывается порт 2989 или 44299.

Команды backdoor'а Brador.a

D – вывод содержимого каталога

F – завершение работы backdoor'а

G – отправить файл

М – вывод сообщения на экран

P – принять файл

R – выполнить команду

Brador не умеет распространяться самостоятельно, поэтому он может попасть на наладонник только по вине самого пользователя и в виде любого "безобидного" приложения. Кстати, клиентская часть Brador.a коммерческая, и разработчиком мог быть наш соотечественник. Первые сведения об этом трояне пришли с российского адреса электронной почты, и письмо было составлено на русском языке. Евгений Касперский как в воду глядел, создавая свой антивирус для КПК. Его мнение о Трояне для КПК ты найдешь на врезке.

Евгений Касперский о Brador

Обнаружение первой троянской программы для карманных компьютеров подтверждает наши опасения, высказанные недавно в связи с появлением концептуальных вирусов для мобильных телефонов и для операционной системы Windows Mobile. WinCE.Brador.a - полноценная вредоносная программа, здесь уже не идет речи о демонстрации вирусописателями своих возможностей, мы можем наблюдать набор деструктивных функций, характерный для большинства backdoor'ов. Пользователи мобильных устройств находятся в реальной опасности, и можно только предполагать, что компьютерный андеграунд в ближайшее время еще больше активизируется в плане создания вредоносных программ для мобильных телефонов и карманных компьютеров. Ситуация с мобильными устройствами развивается так же, как когда-то было с настольными компьютерами. Вполне возможно, что нас ожидают крупные вирусные эпидемии КПК.

Первый вирус для смартфонов

Вирус написан все той же командой вирусописателей 29A, которая выпустила "на волю" Dust – первый вирус для КПК, и вообще команда славится своими нововведениями в мир вирусов. В "Лаборатории Касперского" вирус назвали Worm.SymbOS.Cabir.a. Уже по названию вируса понятно, что он поражает только девайсы с операционной системой SymbianOS, на которой работают практически все современные смартфоны. Существует несколько версий этого вируса, но они практически ничем не отличаются, все версии передаются по Bluetooth. Червячок распространяется в виде файла caribe.sys размером около 15 Кб. Внутри него несколько файлов: caribe.app, flo.mdl, caribe.rsc. При запуске червь выводит сообщение c текстом "Caribe" или другим (зависит от модификации).