Введение в мобильную вирусологию

Введение в мобильную вирусологиюВведение в мобильную вирусологию, часть I

Виюне 2006-го минуло два года, как «Лаборатория Касперского» получила первыйобразец вируса для мобильного телефона. Теперь мы уже знаем, что его авторствопринадлежит знаменитой международной группе вирусописателей 29A, а именно одномуиз ее членов, известному под псевдонимом Vallez.
ЯщикПандоры был открыт, и на сегодняшний день в коллекциях антивирусных компанийнаходятся сотни всевозможных троянских программ и червей, атакующих мобильныетелефоны. Тонкий ручеек новых зловредов для Symbian, существовавший в 2004 году,сейчас превратился в бурный поток и грозит в ближайшее время стать полноводнойрекой. Каждую неделю мы добавляем в наши антивирусные базы около десяткатроянских программ, имеющих в своем имени префикс «SymbOS».

Самоепечальное, что этот процесс сопровождается действительно существующими и всеусиливающимися эпидемиями мобильных червей, реальные масштабы которых пока неподдаются оценке. Всего год назад мы только слышали о том, что Cabir обнаружен втакой-то стране или городе, затем люди с зараженными телефонами началиобращаться непосредственно к нам, и мы постепенно становились свидетелямиреальных случаев заражения. А сейчас уже многие сотрудники нашей компании вМоскве и сами столкнулись с подобными червями.

Возможно, причина стольширокого распространения мобильных червей — гораздо более низкий общий уровенькомпьютерной грамотности у пользователей телефонов по сравнению с пользователямиИнтернета. С другой стороны, даже опытные пользователи все еще относятся квирусам для мобильных устройств, как к проблеме будущего или считают их чем-тосуществующим где-то очень далеко.

Нет, мобильные вирусы — это непараллельный мир. Они существуют рядом с нами прямо сейчас, и каждый раз, когдавы спускаетесь в метро или идете в кинотеатр, летите куда-нибудь из большогоаэропорта — ваш телефон находится под угрозой.

Нам еще предстоит пройтибольшой путь в деле просвещения пользователей, сравнимый с тем, что мы проделалив ситуации с обычными компьютерными вирусами.

14 июня 2004 года на адресэлектронной почты Этот e-mail адрес защищен от спам-ботов, для его просмотра у Вас должен быть включен Javascript пришло письмо от известногоколлекционера компьютерных вирусов, тесно связанного с некоторыми авторамивирусов, испанца VirusBuster. Письмо содержало файл с именем caribe.sis. В тотмомент мы еще не знали, что это такое. Быстрый анализ файла показал, что файлявляется приложением для операционной системы Symbian и одновременноархивом-инсталлятором, содержащим в себе другие файлы. Как правило, вирусныманалитикам приходится работать с файлами, созданными для традиционныхпроцессоров x86. Файлы из caribe.sis представляли собой приложения дляпроцессора ARM, используемого в различных микроустройствах, включая и мобильныетелефоны. Нам был незнаком машинный язык этого процессора, но за несколько часованалитики смогли разобраться в нем и после этого назначение файлов стало ясно:это был червь для мобильных телефонов, рассылающий себя через Bluetooth. Нашивыводы полностью подтвердились на следующий день, когда мы протестировалиработоспособность червя на телефоне Nokia N-Gage, оснащенном операционнойсистемой Symbian.

Червь был создан человеком, известным под псевдонимомVallez. По нашим данным, он проживает во Франции и в тот момент входил в составвирусописательской группы 29A. Эта группа ставила своей целью создание новых,концептуальных вирусов для нестандартных операционных систем и приложений. Ееучастники как бы демонстрировали антивирусным компаниям и другимвирусописателям, что существуют новые направления атаки. В этот раз целью былосоздание вредоносной программы для смартфонов. Для размножения червя также былвыбран нестандартный способ. Мы привыкли к тому, что черви обычнораспространяются по электронной почте, и логично было бы ожидать от Cabir такогоже пути рассылки себя. Тем более, что одной из основных функций смартфоновявляется возможность работы с Интернетом и электронной почтой. Однако авторчервя избрал другой способ — протокол Bluetooth. Это стало вторым ключевыммоментом идеи.

В качестве среды функционирования червя используетсяоперационная система Symbian. И тогда она была, и сейчас продолжает оставатьсялидером среди ОС для мобильных телефонов. Во многом это лидерство обусловленотем, что именно Symbian используется в смартфонах, выпускаемых компанией Nokia.Фактически Symbian+Nokia сейчас являются стандартом для смартфонов, и пройдетеще много времени до того момента, как Windows Mobile сможет потеснить Symbianна этом рынке.

Таким образом, очередной раз был продемонстрирован принципдействия «закона появления компьютерных вирусов». Для того чтобы для какой-то ОСили платформы появились вредоносные программы, необходимо наличие трехфакторов:

* Популярность платформы. Symbian OS была и остается самойпопулярной платформой для смартфонов. Общее число пользователей составляетнесколько десятков миллионов человек по всему миру.
* Наличие хорошодокументированных средств разработки приложений.
* Наличие уязвимостей илиошибок. Symbian содержит несколько серьезных ошибок «by design» в системе работыс файлами и сервисами. В случае с Cabir они не были использованы, однако вбольшинстве современных троянцев для смартфонов они использованы в полноймере.


Cabir моментально привлек внимание не только антивирусныхкомпаний, но и других вирусописателей. Все ждали момента, когда 29A опубликуеточередной номер своего электронного журнала. Именно там по традиции должны былибыть опубликованы исходные коды червя. Было понятно, что их публикация приведетк появлению новых, более опасных вариантов червя. Так всегда бывает, когда вруки script-kiddies попадают подобные технологии. Но и без наличия исходныхкодов мелкие хулиганы способны на многое.

Существующие виды исемейства мобильных вирусов

Осенью 2004 года сформировались триосновных направления, по которым в последующие годы развивалась мобильнаявирусология. Одним стало создание троянских программ, призванных наноситьфинансовый ущерб зараженному пользователю. Первым стал троянец Mosquit.a. Будучибезвредной игрой для телефона, он со временем начинал рассылать множество SMS поадресной книге. Таким образом авторы игры пытались ее рекламировать. Фактическиэто был не только первый троянец для смартфонов, но и перваяAdWare.

Появившийся в ноябре троянец Skuller.a стал первой ласточкой всамом многочисленном ныне семействе мобильных троянцев. Именно он использовалошибки в работе Symbian, позволявшие любому приложению перезаписывать своимифайлами имеющиеся системные файлы, даже не запрашивая при этом разрешенияпользователя. Троянец заменял иконками с изображением черепа иконки приложений,попутно удаляя их файлы. В результате этого после перезагрузки телефонпереставал работать. Этот принцип «троянца-вандала» стал одним из наиболеепопулярных у вирусописателей.



Практическиодновременно с Skuller.a на свет вырвались сразу три варианта Cabir. Они не былиоснованы на исходных кодах оригинального червя. Просто к тому моменту сам Cabirуже попал в руки вирусописателей, и некоторые из них проделали любимый трюкscript-kiddies — просто переименовали файлы червя и переписали некоторые текстывнутри него на свои собственные. Один из этих вариантов был усилен тем, чтовнутрь архива с червем был добавлен еще и Skuller. Получившийся гибрид не имелособого смысла: червь не мог размножаться, поскольку троянец выводил телефон изстроя, однако это было первым примером использования Cabir в качестве «носителя»для других вредоносных программ.

Таким образом к началу 2005 годаосновные виды мобильных вирусов в целом уже были сформированы, и в последующиеполтора года авторы вирусов придерживались именно их:

* черви,распространяющиеся через специфические для смартфонов протоколы и сервисы;
*троянцы-вандалы, использующие ошибки Symbian для установки в систему;
*троянцы, ориентированные на нанесение финансового ущербапользователю.


Однако, несмотря на столь малое число основныхповедений, на практике это вылилось в многообразие форм и видов вирусов. Внастоящий момент «Лаборатория Касперского» учитывает 31 семейство вредоносныхпрограмм для мобильных телефонов. Мы ведем таблицу, в которой можно увидетьосновные черты каждого из этих семейств.


Полныйсписок известных семейств мобильных вирусов по классификации «ЛабораторииКасперского» (по состоянию на 30 августа 2006 года).


Увеличениеколичества известных вариантов мобильных вирусов


Увеличениеколичества известных семейств мобильных вирусов

Если обобщить все этиданные, то мы получим ответ на вопрос «Что могут делать мобильныевирусы?»:

* Распространяться через Bluetooth, MMS
* ПосылатьSMS
* Заражать файлы
* Давать возможность удаленно управлятьсмартфоном
* Изменять или менять иконки, системные приложения
*Устанавливать «ложные» или некорректные шрифты, приложения
* Бороться сантивирусами
* Устанавливать другие вредоносные программы
* Блокироватьработу карт памяти
* Воровать информацию


Следует признать, чтосовременные мобильные вирусы умеют практически все то же самое, что икомпьютерные вирусы. Но компьютерным вирусам, чтобы породить весь этот спектрповедений, потребовалось более двадцати лет. Мобильные вирусы прошли этот путьвсего лишь за два года. Без сомнения, перед нами самая динамичная и быстроразвивающаяся область вредоносных программ, причем очевидно, что до пика своегоразвития ей еще очень далеко.

Основы

Одним из главныхотличий мобильных вирусов от современных компьютерных с точки зрения технологииявляется то, что — несмотря на обилие мобильных семейств — существует крайнеограниченное число действительно оригинальных зловредов. Это можно сравнить сситуацией, которая была в конце 80-х годов прошлого века в компьютерных вирусах.Тогда существовали сотни вирусов, которые в своей основе имели некоторые«базовые» вредоносные программы, были основаны на их исходных кодах. Vienna,Stoned, Jerusalem — эти три вируса явились прародителями массы других.

Ябы выделил в такие «прародители» среди мобильных вирусов следующиепрограммы:

* Cabir
* Comwar
*Skuller.gen


Cabir

Cabir не только породил несколькосвоих вариантов, отличающихся лишь именами файлов и составом своегоинсталляционного sis-файла. На основе этого червя были созданы такиесамостоятельные и на первый взгляд непохожие друг на друга семейства, какStealWar, Lasco и Pbstealer.

Lasco

Lasco стал первым из нихи помимо функций червя обладает способностью заражения файлов на телефоне.Именно история с появлением Lasco является очень хорошей иллюстрацией того, кчему ведет публикация в открытых источниках кодов вирусов. Некий бразилец МаркосВеласко, называющий себя экспертом в области мобильных вирусов, заполучилисходники Cabir и занялся откровенным вирусописательством. В течение последнейнедели 2004 года он послал в антивирусные компании сразу несколько собственныхпеределок Cabir, часть которых была абсолютно неработоспособна. Все они быликлассифицированы антивирусными компаниями как новые варианты Cabir. Такаяклассификация весьма не понравилась автору, и он, в попытках прославиться,создал вариант червя, который мог еще и заражать sis-файлы. Так в антивирусныхбазах появился червь Lasco.

К счастью, идея заражения файлов не получиладальнейшего распространения среди вирусописателей, даже несмотря на то, чтоВеласко опубликовал исходные коды своего творения на собственномсайте.

До сих пор нет полной ясности в том, действительно ли в основуLasco лег Cabir. Маркос утверждал, что он написал весь код самостоятельно,однако количество файлов, их имена, размер и принцип работы во многом совпадаютс Cabir. Вы можете сами сравнить одну из основных функций в обоих червях исделать собственные выводы.

Функция рассылки через Bluetooth (Cabir):
if(WithAddress)
{
WithAddress =0;
Cancel();
TBTSockAddr btaddr(entry().iAddr);
TBTDevAddrdevAddr;
devAddr = btaddr.BTAddr();
TObexBluetoothProtocolInfoobexBTProtoInfo;
obexBTProtoInfo.iTransport.Copy(_L("RFCOMM"));
obexBTProtoInfo.iAddr.SetBTAddr(devAddr);
obexBTProtoInfo.iAddr.SetPort(0x00000009);
obexClient= CObexClient::NewL(obexBTProtoInfo);
if(obexClient)
{
iState =1;
iStatus =KRequestPending;
Cancel();
obexClient->Connect(iStatus);
SetActive();
}
}
else
{
iState= 3;
User::After(1000000);
}
return 0;

Функция рассылкичерез Bluetooth (Lasco):
if ( FoundCell )
{
FoundCell =_NOT;
Cancel();
TBTSockAddr addr( entry().iAddr );
TBTDevAddrbtAddress;
btAddress = addr.BTAddr();
TObexBluetoothProtocolInfoobexProtocolInfo;
obexProtocolInfo.iTransport.Copy( _L( "RFCOMM" ));
obexProtocolInfo.iAddr.SetBTAddr( btAddress);
obexProtocolInfo.iAddr.SetPort( 9 );
if ( ( iClient =CObexClient::NewL( obexProtocolInfo ) ) )
{
iStatus =KRequestPending;
BluetoothStatus =_BLUETOOTH_NOT_CONNECTED;
Cancel();
iClient->Connect( iStatus);
SetActive();
}
}
else
{
BluetoothStatus =_BLUETOOTH_CONNECTED;
}
}

Pbstealer

Остановимсяеще на одном «наследнике» Cabir, а именно на первом троянце-шпионе для Symbian —Pbstealer. Созданный в Азии, скорее всего в Китае, он был обнаружен на одном извзломанных корейских сайтов, посвященных онлайновой игре Legend of Mir. Такойспособ распространения и явно криминальная направленность троянцапродемонстрировали, как используются «благие намерения» автора Cabir.

ОтCabir была взята все та же функция рассылки файлов через Bluetooth. Однакоавторы троянца внесли одно, но значительное изменение в оригинальный код.Троянец ищет адресную книгу телефона и отсылает данные из этой книги черезBluetooth на первое из найденных устройств. Отсюда и его название Pbstealer —«Phonebook Stealer». До сих пор для кражи подобной информации злоумышленникииспользовали различные уязвимости в самом протоколе Bluetooth, напримерBlueSnarf. С появлением этого троянца возможности преступников значительнорасширились.

И, конечно же, Cabir стал излюбленным «носителем» длявсевозможных других троянцев. Более половины различных Skuller, Appdisabler,Locknut, Cardtrap и прочих «вандалов» содержат в себе Cabir, измененный так,чтобы он рассылал не только себя, но и весь троянский «пакет». Подобноеповедение и гибридизация вредоносных программ повлекли за собой существенныетрудности в классификации многих вредоносных программ, о чем мы еще поговоримниже.

Comwar

Второй вехой в развитиии мобильных зловредовстал Comwar. Это первый червь, распространяющийся через MMS. Как и Cabir, онспособен рассылаться через Bluetooth, однако именно MMS является его основнымспособом размножения, и, если учитывать его масштаб, наиболее опасным из всехвозможных.

Радиус действия Bluetooth составляет 10-15 метров, и заражениюмогут быть подвержены другие устройства только в этих пределах. MMS границ неимеет и способен мгновенно пересылаться на телефоны даже в другиестраны.

Автор Cabir изначально обдумывал эту идею, но затем отказался отнее в пользу Bluetooth из вполне очевидных (для идеологии 29A)соображений:

«mms: Its easy to route over the agent searching phonenumbers and sending them a mms message with the worm attached, but we have twoproblems:

* We dont know what type of phone are we sending the mms. Wedont know if that phone is able to receive mms message or if it could executethe worm.
* We are spending the money of the phone.»


Второй пунктвесьма показателен: из него следует, что автор Cabir не хотел наноситькакой-либо финансовый ущерб пользователям. Автора Comwar подобная проблемавообще не волновала.

Технология рассылки через MMS является самойпривлекательной для мобильных вирусописателей, однако пока мы сталкивалисьтолько с обычными трюками над оригинальным червем — когда некоторые «недохакеры»ограничивались изменением имен файлов и текстов внутри оригинальных файлов, неизменяя функционал Comwar. Это связано с тем, что исходные коды Comwar не былиопубликованы и процедура отправки зараженных MMS неизвестнаscript-kiddies.

В настоящий момент нам известно 7 модификаций данногочервя, из которых четыре являются«авторскими».
Comwar.a:
CommWarrior v1.0b (c) 2005 bye10d0r
CommWarrior is freeware product. You may freely distribute it in it'soriginal unmodified form.

Comwar.b:
CommWarrior v1.0 (c) 2005by e10d0r
CommWarrior is freeware product. You may freely distribute it init's original unmodified form.

Comwar.c:
CommWarrior Outcast:The dark side of Symbian Force.
CommWarrior v2.0-PRO. Copyright (c) 2005 bye10d0r
CommWarrior is freeware product. You may freely distribute it
init's original unmodified form.
With best regards fromRussia.

Comwar.d:
Не содержит отличительных текстов. Тексты MMSизменены на другие, на испанском языке.

Comwar.e:
WarriorLandv1.0A (c) 2006 by Leslie
Также имеет тексты на испанскомязыке.

Comwar.f:
Не содержит отличительных текстов. Тексты MMSизменены на другие, на испанском языке.

Comwar.g:
CommWarriorOutcast: The Dark Masters of Symbian.
The Dark Side has morepower!
CommWarrior v3.0 Copyright (c) 2005-2006 by e10d0r
CommWarrior isfreeware product. You may freely distribute it in it's original unmodifiedform.

Кроме этого, в варианте .g автор червя впервые применил возможностьзаражения файлов. Червь ищет на телефоне другие sis-файлы и дописывает себя вних. Таким образом он получает еще один способ распространения, помимотрадиционных MMS и Bluetooth.

Можно заметить, что пока еще Comwar не стал«родителем» множества других семейств, и это напрямую связано с недоступностьюего исходного кода. Его используют в качестве «носителя» для других троянскихпрограмм, точно так же, как и Cabir. Пожалуй, единственной из всех вредоносныхпрограмм, использующих Comwar в своих целях, на статус родоначальникасамостоятельного семейства претендует только StealWar. Это червь, в которомобъединены Cabir, Comwar и троянец Pbstealer. Подобный «комбайн» имеетповышенную опасность и способность к размножению.

Однако сам принципMMS-рассылок неминуемо станет превалирующим среди других способов размножениямобильных вирусов. Тем более, что уже известно о наличии серьезной уязвимости вобработке MMS на операционной системе Windows Mobile 2003, которая приводит кпереполнению буфера и выполнению произвольного кода. Об этом было сообщеноCollin Mulliner в августе этого года на конференции DefCon.


Демонстрацияработы уязвимости в MMS (Collin Mulliner, доклад Advanced Attacks AgainstPocketPC Phones).

Подробности данной уязвимости закрыты от публики довыхода обновления от компании Microsoft, но опасность от этого меньше нестановится. Если будет создан червь, автоматически, без пользовательскогоучастия, запускающий себя на исполнение при попадании в смартфон, это можетстать причиной глобальной вирусной эпидемии.

Говоря о том, что ещепривнес Comwar в мобильные вирусы, следует отметить, что именно в нем (вариант.c) впервые была применена технология, которую можно считать руткитом. Червьскрывает себя в списке процессов и не виден в стандартном списке запущенныхприложений. Это возможно из-за того, что он устанавливает тип своего процессакак «системный». Конечно, при помощи других программ, позволяющих просматриватьсписки запущенных процессов, он может быть легко обнаружен. В настоящее времяподобный способ маскировки используют и некоторые другие вредоносные программыдля Symbian.

Skuller

Как уже было сказано выше, Skullerпредставляет самое многочисленное семейство мобильных троянцев — на 1 сентября2006 года нами классифицирован 31 вариант. Это неудивительно, поскольку этосамые примитивные из всех возможных symbian malware. Создать подобного троянцапод силу любому человеку, умеющему пользоваться утилитой для созданияsis-файлов. Все остальное сделают уязвимости Symbian: возможность перезаписилюбых файлов, включая системные, и крайняя неустойчивость системы при еестолкновении с неожиданными (нестандартными для данного дистрибутива либоповрежденными) файлами.

В основе большинства вариантов Skuller лежат двафайла. Именно их мы и называем Skuller.gen, и именно они имеют особенности,отличающие это семейство от похожих по функционалу (например, Doombot илиSkudoo):

* файл с именем подменяемого приложения и расширением «aif»,размером 1601 байт. Это файл-иконка с изображением черепа. Файл также содержит всебе текстовую строку «↑Skulls↑Skulls»;
* файл с именем подменяемогоприложения и расширением «app», размером 4796 байт. Это приложение EPOC,файл-«пустышка», который не содержит никакогофункционала.


Проблемы классификации

Одной из основныхпроблем мобильной вирусологии является классификация. Под классификацией я имеюв виду присвоение новым вирусам соответствующего класса, должного отражать ихтип и поведение. При этом возникает ряд сложностей из-за того, что, как мы ужеотмечали, мобильные зловреды отличаются повышенной склонностью к межвидовомускрещиванию — «гибридизации».

Классификация, используемая «ЛабораториейКасперского», имеет четкую структуру:

* Вердикт поведения. Отвечает навопросы «кто это?» и «что делает?». Примеры: Email-Worm, Trojan-Downloader,Trojan-Dropper.
* Среда существования, необходимая для работы. Может бытьлибо названием операционной системы, либо конкретным приложением. Примеры:Win32, MSWord, Linux, VBS.
* Название семейства и букваварианта.


С последним пунктом почти не бывает проблем. Каждаявредоносная программа имеет свое уникальное название. Трудность составляет лишьвыбор названия, но об этом подробнее будет рассказано ниже.

Небольшиепроблемы могут возникать при определении среды существования мобильного вируса.В большинстве случаев мы имеем дело с программами для операционной системыSymbian и используем для них префикс SymbOS. Однако мы сталкиваемся с тем, чтовсе чаще и чаще пользователям требуется уточняющая информация: работает лиданный зловред только на Symbian Series 60 SE или может работать также на Series80? А возможно, он функционирует только на Series 80? А что насчет Series 90?Для OS Windows у нас в классификации существует подобное разделение: Win16,Win9x, Win32. Я не исключаю того, что в будущем нам действительно понадобитсявводить некоторые цифровые обозначения в префикс SymbOS.

Но это самаялегкая часть проблемы, связанной со вторым пунктом. Если мы посмотрим на другуюмобильную платформу — Windows, то увидим гораздо более запутаннуюситуацию.

У нас есть вирусы, которые были написаны для Windows CE 2003.Именно для них в нашей классификации был создан префикс WinCE. Однаковредоносные программы, созданные для Windows Mobile 5.0, не могутфункционировать на старой платформе. А название Windows CE не совсем правильноиспользовать как синоним для Windows Mobile или Pocket PC, хотя они все являютсяразными реализациями платформы Windows CE. Каждая из них использует свой наборкомпонентов Windows CE плюс свой набор сопутствующих особенностей иприложений.

Таким образом, мы не можем отразить в существующейклассификации точное название платформы, необходимое для функционированияконкретного вируса. Кроме того, ряд вирусов требует для своей работыустановленного расширения .NET для WinCE/Windows Mobile. Для них мы используемстандартный префикс MSIL, что абсолютно не указывает на то что, данный вирус —мобильный.

Вы уже запутались? Погодите, это все еще самые небольшиепроблемы с классификацией. Мы подходим к самой запутанной части классификации —присвоению вирусу конкретного типа\поведения. Здесь проблемы возникают в связи с«гибридизацией», появлением кроссплатформенных вредоносных программ длямобильных устройств и разными подходами к классификации у разных антивирусныхкомпаний.

Рассмотрим некоторые примеры.

Вирусные аналитики«Лаборатории Касперского» периодически сталкиваются с ситуацией, когда некийsis-файл (являющийся по своей сути архивом-инсталлятором) содержит в себе наборфайлов: червь Cabir, червь ComWar, троянец PbStealer, несколько файловSkuller.gen, несколько «пустых» файлов (нулевого размера), которые специфичныдля троянца Locknut и при этом он еще устанавливает на карту памяти телефонаWin32-зловреда (как это делают троянцы Cardtrap).

С точки зрениясуществующей классификации мы должны были бы классифицировать данный файл какTrojan-Dropper. Но мы не можем так поступить! Установленный Cabir будетрассылать через Bluetooth не самого себя, а именно этот sis-файл. Значит, еготоже следует считать червем? Но какое же имя у него будет? Cabir? Нет, егонельзя назвать Cabir и дать ему новую букву варианта, потому что на 90%содержимое этого sis-файла не имеет ничего общего с Cabir и мы только запутаемпользователя.

Можно подумать о Skuller, о Locknut, о Cardtrap, но ни одноиз этих названий не будет точным и правильным, потому что это «гибрид». Скореевсего, в итоге этот файл будет классифицирован как Trojan, а название семействабудет выбрано исходя из уже имеющихся в нашей коллекции аналогичных троянцев, посовпадению второстепенных признаков, например по явному указанию на общегоавтора.

Подобные трудности классификации крайне редки в мире компьютерныхвирусов, но возникают в подавляющем большинстве случаев при классификациивирусов мобильных.

Возможно, по мере снижения числа примитивныхтроянцев-вандалов случаи, подобные описанному, будут становиться все болеередкими и мир мобильных вирусов в этом плане станет более четким иструктурированным.

Пример номер два. Червь, работающий на Win32. Будучизапущен на персональном компьютере, помимо всего прочего, создает на диске E:sis-файл ( как правило, Symbian-телефоны при подключении к компьютерумонтируются именно как диск E:\). SIS-файл содержит в себе несколькофайлов-пустышек и перезаписывает ими ряд системных приложений телефона. Также вфайле содержится тот же самый Win32-червь, который копируется на карту памятителефона и дополняется файлом autorun.inf.

Если такой зараженный телефонподключить к компьютеру и попытаться с него обратиться к карте памяти телефона —произойдет автозапуск червя и заражение компьютера.

Это примеркроссплатформенного вируса, который способен функционировать на совершенноразных операционных системах — Windows и Symbian. Такой червь уже существует иназывается Mobler. Как классифицировать его?

Для кроссплатформенныхвирусов у нас имеется префикс «Multi». Worm.Multi.Mobler? Но как из этогоназвания пользователи узнают, что данный червь опасен для Symbian-смартфонов? Нанаш взгляд, правильным является разделение его на две составляющие: win32-файлклассифицировать как Worm.Win32.Mobler, а sis-файл как Worm.SymbOS.Mobler.Проблема в том, что другие антивирусные компании классифицируют sis-файл не какMobler и не как червь. Они называют его Trojan.SymbOS.Cardtrap, потому что,согласно их классификации, любые зловреды, которые устанавливают Win32-зловредына карты памяти телефона, — это Cardtrap. Но ведь он устанавливает не какого-топостороннего троянца. Он устанавливает свою основную компоненту, свою копию —только для другой операционной системы. Однако жесткие рамки существующих вантивирусных компаниях классификаций заставляют пытаться втиснуть в этопрокрустово ложе все подобные нестандартные случаи. В конечном итоге от этогопроигрывают все — и пользователи, и антивирусные компании.

Если жеисходить из того, что способы распространения и поведения в системе у рядамобильных вирусов кардинально отличаются от всего ранее известного, то и дляотражения этих особенностей также необходимы новые классы. Например, Cabir (илюбые черви, распространяющиеся через BlueTooth) логично называть Bluetooth-Worm(и сюда же можно было бы отнести червь Inqtana для MacOS). Черви, которыерассылают себя через MMS, назовем MMS-Worm. А что делать если червь рассылаетсебя и через BlueTooth и через MMS? Какой из двух способов распространенияявляется «главным»? В «Лаборатории Касперского» могут считать, что MMS. Другиеантивирусные компании могут полагать, что Bluetooth.

Троянец, которыйпосылает с зараженного телефона SMS на платные номера, — это очевидноTrojan-SMS. А троянец, который перехватывает все входящие и исходящие SMS иотсылает их злоумышленнику, — это Trojan-Spy или тоже Trojan-SMS? Какоеобозначение будет более понятным для пользователя и покажет риск отзаражения?

Подобных вопросов и примеров я могу насчитатьдесятки...

Антивирусная индустрия рано или поздно столкнется снеобходимостью создания единой классификации для мобильных вирусов. Этонеобходимо сделать как можно скорей, пока ситуация еще не стала критической и неначалась путаница, схожая с путаницей в названиях одних и тех же компьютерныхвирусов у разных антивирусных вендоров. К сожалению, опыт того, что длякомпьютерных вирусов так и не удалось создать общую (устраивающую всех)классификацию, не придает большого оптимизма.

Оригинальный текст:
Кому интересно,тут можно прочитать продолжение(вторую часть) этойстатьи.



  






Рекомендуемый контент




Copyright © 2010-2017 housea.ru. Контакты: info@housea.ru При использовании материалов веб-сайта Домашнее Радио, гиперссылка на источник обязательна.