Отдам этот сайт в добрые руки,желающие забрать его,пишите в личку,мой ник byferman
Коммуник • Просмотр темы - мобильные вирусы
Untitled
Acer ASUS Gigabyte Glofiish HP HTC i-Mate LG Motorola O2 Qtek Rover Samsung Sony T-Mobile Toshiba
Искать в этом форуме:
Текущее время: 07 апр 2020, 00:48

Часовой пояс: UTC + 3 часа




Начать новую тему Ответить на тему  [ 1 сообщение ] 
Автор Сообщение
 Заголовок сообщения: мобильные вирусы
СообщениеДобавлено: 10 янв 2010, 12:01 
Аватара пользователя
Репутация
Добавить очки репутации« 14 » Уменьшить очки репутации

Администратор
Не в сети


Зарегистрирован: 19 дек 2009, 10:57
Сообщений: 1387
Cпасибо сказано: 2
Спасибо получено:
32 раз в 31 сообщениях
Мой кпк: ищу подходящий
Заслуги:
За хорошую репутацию За очень хорошую репутацию За 10 Сообщений За 50 Сообщений За 100 Сообщений За 500 Сообщений За 1000 Сообщений
В июне 2006-го минуло два года, как «Лаборатория Касперского» получила первый образец вируса для мобильного телефона. Теперь мы уже знаем, что его авторство принадлежит знаменитой международной группе вирусописателей 29A, а именно одному из ее членов, известному под псевдонимом Vallez.

Ящик Пандоры был открыт, и на сегодняшний день в коллекциях антивирусных компаний находятся сотни всевозможных троянских программ и червей, атакующих мобильные телефоны. Тонкий ручеек новых зловредов для Symbian, существовавший в 2004 году, сейчас превратился в бурный поток и грозит в ближайшее время стать полноводной рекой. Каждую неделю мы добавляем в наши антивирусные базы около десятка троянских программ, имеющих в своем имени префикс «SymbOS».

Самое печальное, что этот процесс сопровождается действительно существующими и все усиливающимися эпидемиями мобильных червей, реальные масштабы которых пока не поддаются оценке. Всего год назад мы только слышали о том, что Cabir обнаружен в такой-то стране или городе, затем люди с зараженными телефонами начали обращаться непосредственно к нам, и мы постепенно становились свидетелями реальных случаев заражения. А сейчас уже многие сотрудники нашей компании в Москве и сами столкнулись с подобными червями.

Возможно, причина столь широкого распространения мобильных червей — гораздо более низкий общий уровень компьютерной грамотности у пользователей телефонов по сравнению с пользователями Интернета. С другой стороны, даже опытные пользователи все еще относятся к вирусам для мобильных устройств, как к проблеме будущего или считают их чем-то существующим где-то очень далеко.

Нет, мобильные вирусы — это не параллельный мир. Они существуют рядом с нами прямо сейчас, и каждый раз, когда вы спускаетесь в метро или идете в кинотеатр, летите куда-нибудь из большого аэропорта — ваш телефон находится под угрозой.

Нам еще предстоит пройти большой путь в деле просвещения пользователей, сравнимый с тем, что мы проделали в ситуации с обычными компьютерными вирусами.
В начале было...

14 июня 2004 года на адрес электронной почты newvirus@kaspersky.com пришло письмо от известного коллекционера компьютерных вирусов, тесно связанного с некоторыми авторами вирусов, испанца VirusBuster. Письмо содержало файл с именем caribe.sis. В тот момент мы еще не знали, что это такое. Быстрый анализ файла показал, что файл является приложением для операционной системы Symbian и одновременно архивом-инсталлятором, содержащим в себе другие файлы. Как правило, вирусным аналитикам приходится работать с файлами, созданными для традиционных процессоров x86. Файлы из caribe.sis представляли собой приложения для процессора ARM, используемого в различных микроустройствах, включая и мобильные телефоны. Нам был незнаком машинный язык этого процессора, но за несколько часов аналитики смогли разобраться в нем и после этого назначение файлов стало ясно: это был червь для мобильных телефонов, рассылающий себя через Bluetooth. Наши выводы полностью подтвердились на следующий день, когда мы протестировали работоспособность червя на телефоне Nokia N-Gage, оснащенном операционной системой Symbian.

Червь был создан человеком, известным под псевдонимом Vallez. По нашим данным, он проживает во Франции и в тот момент входил в состав вирусописательской группы 29A. Эта группа ставила своей целью создание новых, концептуальных вирусов для нестандартных операционных систем и приложений. Ее участники как бы демонстрировали антивирусным компаниям и другим вирусописателям, что существуют новые направления атаки. В этот раз целью было создание вредоносной программы для смартфонов. Для размножения червя также был выбран нестандартный способ. Мы привыкли к тому, что черви обычно распространяются по электронной почте, и логично было бы ожидать от Cabir такого же пути рассылки себя. Тем более, что одной из основных функций смартфонов является возможность работы с Интернетом и электронной почтой. Однако автор червя избрал другой способ — протокол Bluetooth. Это стало вторым ключевым моментом идеи.

В качестве среды функционирования червя используется операционная система Symbian. И тогда она была, и сейчас продолжает оставаться лидером среди ОС для мобильных телефонов. Во многом это лидерство обусловлено тем, что именно Symbian используется в смартфонах, выпускаемых компанией Nokia. Фактически Symbian+Nokia сейчас являются стандартом для смартфонов, и пройдет еще много времени до того момента, как Windows Mobile сможет потеснить Symbian на этом рынке.

Таким образом, очередной раз был продемонстрирован принцип действия «закона появления компьютерных вирусов». Для того чтобы для какой-то ОС или платформы появились вредоносные программы, необходимо наличие трех факторов:
Популярность платформы. Symbian OS была и остается самой популярной платформой для смартфонов. Общее число пользователей составляет несколько десятков миллионов человек по всему миру.

Слова автора Cabir: «Symbian could be a very extended operating system used in mobile phones in the future. Today is the more extended and in my opinion it could be more yet (M$ is fighting too for being into this market too)».
Наличие хорошо документированных средств разработки приложений.

Слова автора Cabir: «Caribe was written in c++. Symbian/nokia is giving us a complete sdk for developing applications for symbian operating system».
Наличие уязвимостей или ошибок. Symbian содержит несколько серьезных ошибок «by design» в системе работы с файлами и сервисами. В случае с Cabir они не были использованы, однако в большинстве современных троянцев для смартфонов они использованы в полной мере.

Cabir моментально привлек внимание не только антивирусных компаний, но и других вирусописателей. Все ждали момента, когда 29A опубликует очередной номер своего электронного журнала. Именно там по традиции должны были быть опубликованы исходные коды червя. Было понятно, что их публикация приведет к появлению новых, более опасных вариантов червя. Так всегда бывает, когда в руки script-kiddies попадают подобные технологии. Но и без наличия исходных кодов мелкие хулиганы способны на многое.
Существующие виды и семейства мобильных вирусов

Осенью 2004 года сформировались три основных направления, по которым в последующие годы развивалась мобильная вирусология. Одним стало создание троянских программ, призванных наносить финансовый ущерб зараженному пользователю. Первым стал троянец Mosquit.a. Будучи безвредной игрой для телефона, он со временем начинал рассылать множество SMS по адресной книге. Таким образом авторы игры пытались ее рекламировать. Фактически это был не только первый троянец для смартфонов, но и первая AdWare.

Появившийся в ноябре троянец Skuller.a стал первой ласточкой в самом многочисленном ныне семействе мобильных троянцев. Именно он использовал ошибки в работе Symbian, позволявшие любому приложению перезаписывать своими файлами имеющиеся системные файлы, даже не запрашивая при этом разрешения пользователя. Троянец заменял иконками с изображением черепа иконки приложений, попутно удаляя их файлы. В результате этого после перезагрузки телефон переставал работать. Этот принцип «троянца-вандала» стал одним из наиболее популярных у вирусописателей.
Изображение
Изображение
Изображение
Практически одновременно с Skuller.a на свет вырвались сразу три варианта Cabir. Они не были основаны на исходных кодах оригинального червя. Просто к тому моменту сам Cabir уже попал в руки вирусописателей, и некоторые из них проделали любимый трюк script-kiddies — просто переименовали файлы червя и переписали некоторые тексты внутри него на свои собственные. Один из этих вариантов был усилен тем, что внутрь архива с червем был добавлен еще и Skuller. Получившийся гибрид не имел особого смысла: червь не мог размножаться, поскольку троянец выводил телефон из строя, однако это было первым примером использования Cabir в качестве «носителя» для других вредоносных программ.

Таким образом к началу 2005 года основные виды мобильных вирусов в целом уже были сформированы, и в последующие полтора года авторы вирусов придерживались именно их:
черви, распространяющиеся через специфические для смартфонов протоколы и сервисы;
троянцы-вандалы, использующие ошибки Symbian для установки в систему;
троянцы, ориентированные на нанесение финансового ущерба пользователю.

Однако, несмотря на столь малое число основных поведений, на практике это вылилось в многообразие форм и видов вирусов. В настоящий момент «Лаборатория Касперского» учитывает 31 семейство вредоносных программ для мобильных телефонов.
Если обобщить все эти данные, то мы получим ответ на вопрос «Что могут делать мобильные вирусы?»:
Распространяться через Bluetooth, MMS
Посылать SMS
Заражать файлы
Давать возможность удаленно управлять смартфоном
Изменять или менять иконки, системные приложения
Устанавливать «ложные» или некорректные шрифты, приложения
Бороться с антивирусами
Устанавливать другие вредоносные программы
Блокировать работу карт памяти
Воровать информацию

Следует признать, что современные мобильные вирусы умеют практически все то же самое, что и компьютерные вирусы. Но компьютерным вирусам, чтобы породить весь этот спектр поведений, потребовалось более двадцати лет. Мобильные вирусы прошли этот путь всего лишь за два года. Без сомнения, перед нами самая динамичная и быстро развивающаяся область вредоносных программ, причем очевидно, что до пика своего развития ей еще очень далеко.
Основы

Одним из главных отличий мобильных вирусов от современных компьютерных с точки зрения технологии является то, что — несмотря на обилие мобильных семейств — существует крайне ограниченное число действительно оригинальных зловредов. Это можно сравнить с ситуацией, которая была в конце 80-х годов прошлого века в компьютерных вирусах. Тогда существовали сотни вирусов, которые в своей основе имели некоторые «базовые» вредоносные программы, были основаны на их исходных кодах. Vienna, Stoned, Jerusalem — эти три вируса явились прародителями массы других.

Я бы выделил в такие «прародители» среди мобильных вирусов следующие программы:
Cabir
Comwar
Skuller.gen
Cabir

Cabir не только породил несколько своих вариантов, отличающихся лишь именами файлов и составом своего инсталляционного sis-файла. На основе этого червя были созданы такие самостоятельные и на первый взгляд непохожие друг на друга семейства, как StealWar, Lasco и Pbstealer.
Lasco

Lasco стал первым из них и помимо функций червя обладает способностью заражения файлов на телефоне. Именно история с появлением Lasco является очень хорошей иллюстрацией того, к чему ведет публикация в открытых источниках кодов вирусов. Некий бразилец Маркос Веласко, называющий себя экспертом в области мобильных вирусов, заполучил исходники Cabir и занялся откровенным вирусописательством. В течение последней недели 2004 года он послал в антивирусные компании сразу несколько собственных переделок Cabir, часть которых была абсолютно неработоспособна. Все они были классифицированы антивирусными компаниями как новые варианты Cabir. Такая классификация весьма не понравилась автору, и он, в попытках прославиться, создал вариант червя, который мог еще и заражать sis-файлы. Так в антивирусных базах появился червь Lasco.

К счастью, идея заражения файлов не получила дальнейшего распространения среди вирусописателей, даже несмотря на то, что Веласко опубликовал исходные коды своего творения на собственном сайте.

До сих пор нет полной ясности в том, действительно ли в основу Lasco лег Cabir. Маркос утверждал, что он написал весь код самостоятельно, однако количество файлов, их имена, размер и принцип работы во многом совпадают с Cabir. Вы можете сами сравнить одну из основных функций в обоих червях и сделать собственные выводы.

Pbstealer

Остановимся еще на одном «наследнике» Cabir, а именно на первом троянце-шпионе для Symbian — Pbstealer. Созданный в Азии, скорее всего в Китае, он был обнаружен на одном из взломанных корейских сайтов, посвященных онлайновой игре Legend of Mir. Такой способ распространения и явно криминальная направленность троянца продемонстрировали, как используются «благие намерения» автора Cabir.

От Cabir была взята все та же функция рассылки файлов через Bluetooth. Однако авторы троянца внесли одно, но значительное изменение в оригинальный код. Троянец ищет адресную книгу телефона и отсылает данные из этой книги через Bluetooth на первое из найденных устройств. Отсюда и его название Pbstealer — «Phonebook Stealer». До сих пор для кражи подобной информации злоумышленники использовали различные уязвимости в самом протоколе Bluetooth, например BlueSnarf. С появлением этого троянца возможности преступников значительно расширились.

И, конечно же, Cabir стал излюбленным «носителем» для всевозможных других троянцев. Более половины различных Skuller, Appdisabler, Locknut, Cardtrap и прочих «вандалов» содержат в себе Cabir, измененный так, чтобы он рассылал не только себя, но и весь троянский «пакет». Подобное поведение и гибридизация вредоносных программ повлекли за собой существенные трудности в классификации многих вредоносных программ, о чем мы еще поговорим ниже.
Comwar

Второй вехой в развитиии мобильных зловредов стал Comwar. Это первый червь, распространяющийся через MMS. Как и Cabir, он способен рассылаться через Bluetooth, однако именно MMS является его основным способом размножения, и, если учитывать его масштаб, наиболее опасным из всех возможных.

Радиус действия Bluetooth составляет 10-15 метров, и заражению могут быть подвержены другие устройства только в этих пределах. MMS границ не имеет и способен мгновенно пересылаться на телефоны даже в другие страны.

Автор Cabir изначально обдумывал эту идею, но затем отказался от нее в пользу Bluetooth из вполне очевидных (для идеологии 29A) соображений:
«mms: Its easy to route over the agent searching phone numbers and sending them a mms message with the worm attached, but we have two problems:
We dont know what type of phone are we sending the mms. We dont know if that phone is able to receive mms message or if it could execute the worm.
We are spending the money of the phone.»

Второй пункт весьма показателен: из него следует, что автор Cabir не хотел наносить какой-либо финансовый ущерб пользователям. Автора Comwar подобная проблема вообще не волновала.

Технология рассылки через MMS является самой привлекательной для мобильных вирусописателей, однако пока мы сталкивались только с обычными трюками над оригинальным червем — когда некоторые «недохакеры» ограничивались изменением имен файлов и текстов внутри оригинальных файлов, не изменяя функционал Comwar. Это связано с тем, что исходные коды Comwar не были опубликованы и процедура отправки зараженных MMS неизвестна script-kiddies.

В настоящий момент нам известно 7 модификаций данного червя, из которых четыре являются «авторскими».
Comwar.a:
CommWarrior v1.0b © 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it's original unmodified form.
Comwar.b:
CommWarrior v1.0 © 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it's original unmodified form.
Comwar.c:
CommWarrior Outcast: The dark side of Symbian Force.
CommWarrior v2.0-PRO. Copyright © 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it
in it's original unmodified form.
With best regards from Russia.
Comwar.d:

Не содержит отличительных текстов. Тексты MMS изменены на другие, на испанском языке.
Comwar.e:
WarriorLand v1.0A © 2006 by Leslie

Также имеет тексты на испанском языке.
Comwar.f:

Не содержит отличительных текстов. Тексты MMS изменены на другие, на испанском языке.
Comwar.g:
CommWarrior Outcast: The Dark Masters of Symbian.
The Dark Side has more power!
CommWarrior v3.0 Copyright © 2005-2006 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it's original unmodified form.

Кроме этого, в варианте .g автор червя впервые применил возможность заражения файлов. Червь ищет на телефоне другие sis-файлы и дописывает себя в них. Таким образом он получает еще один способ распространения, помимо традиционных MMS и Bluetooth.

Можно заметить, что пока еще Comwar не стал «родителем» множества других семейств, и это напрямую связано с недоступностью его исходного кода. Его используют в качестве «носителя» для других троянских программ, точно так же, как и Cabir. Пожалуй, единственной из всех вредоносных программ, использующих Comwar в своих целях, на статус родоначальника самостоятельного семейства претендует только StealWar. Это червь, в котором объединены Cabir, Comwar и троянец Pbstealer. Подобный «комбайн» имеет повышенную опасность и способность к размножению.

Однако сам принцип MMS-рассылок неминуемо станет превалирующим среди других способов размножения мобильных вирусов. Тем более, что уже известно о наличии серьезной уязвимости в обработке MMS на операционной системе Windows Mobile 2003, которая приводит к переполнению буфера и выполнению произвольного кода. Об этом было сообщено Collin Mulliner в августе этого года на конференции DefCon.
Изображение
Изображение
Подробности данной уязвимости закрыты от публики до выхода обновления от компании Microsoft, но опасность от этого меньше не становится. Если будет создан червь, автоматически, без пользовательского участия, запускающий себя на исполнение при попадании в смартфон, это может стать причиной глобальной вирусной эпидемии.

Говоря о том, что еще привнес Comwar в мобильные вирусы, следует отметить, что именно в нем (вариант .c) впервые была применена технология, которую можно считать руткитом. Червь скрывает себя в списке процессов и не виден в стандартном списке запущенных приложений. Это возможно из-за того, что он устанавливает тип своего процесса как «системный». Конечно, при помощи других программ, позволяющих просматривать списки запущенных процессов, он может быть легко обнаружен. В настоящее время подобный способ маскировки используют и некоторые другие вредоносные программы для Symbian.
Skuller

Как уже было сказано выше, Skuller представляет самое многочисленное семейство мобильных троянцев — на 1 сентября 2006 года нами классифицирован 31 вариант. Это неудивительно, поскольку это самые примитивные из всех возможных symbian malware. Создать подобного троянца под силу любому человеку, умеющему пользоваться утилитой для создания sis-файлов. Все остальное сделают уязвимости Symbian: возможность перезаписи любых файлов, включая системные, и крайняя неустойчивость системы при ее столкновении с неожиданными (нестандартными для данного дистрибутива либо поврежденными) файлами.

В основе большинства вариантов Skuller лежат два файла. Именно их мы и называем Skuller.gen, и именно они имеют особенности, отличающие это семейство от похожих по функционалу (например, Doombot или Skudoo):
файл с именем подменяемого приложения и расширением «aif», размером 1601 байт. Это файл-иконка с изображением черепа. Файл также содержит в себе текстовую строку «↑Skulls↑Skulls»;
файл с именем подменяемого приложения и расширением «app», размером 4796 байт. Это приложение EPOC, файл-«пустышка», который не содержит никакого функционала.
Проблемы классификации

Одной из основных проблем мобильной вирусологии является классификация. Под классификацией я имею в виду присвоение новым вирусам соответствующего класса, должного отражать их тип и поведение. При этом возникает ряд сложностей из-за того, что, как мы уже отмечали, мобильные зловреды отличаются повышенной склонностью к межвидовому скрещиванию — «гибридизации».

Классификация, используемая «Лабораторией Касперского», имеет четкую структуру:
Вердикт поведения. Отвечает на вопросы «кто это?» и «что делает?». Примеры: Email-Worm, Trojan-Downloader, Trojan-Dropper.
Среда существования, необходимая для работы. Может быть либо названием операционной системы, либо конкретным приложением. Примеры: Win32, MSWord, Linux, VBS.
Название семейства и буква варианта.

С последним пунктом почти не бывает проблем. Каждая вредоносная программа имеет свое уникальное название. Трудность составляет лишь выбор названия, но об этом подробнее будет рассказано ниже.

Небольшие проблемы могут возникать при определении среды существования мобильного вируса. В большинстве случаев мы имеем дело с программами для операционной системы Symbian и используем для них префикс SymbOS. Однако мы сталкиваемся с тем, что все чаще и чаще пользователям требуется уточняющая информация: работает ли данный зловред только на Symbian Series 60 SE или может работать также на Series 80? А возможно, он функционирует только на Series 80? А что насчет Series 90? Для OS Windows у нас в классификации существует подобное разделение: Win16, Win9x, Win32. Я не исключаю того, что в будущем нам действительно понадобится вводить некоторые цифровые обозначения в префикс SymbOS.

Но это самая легкая часть проблемы, связанной со вторым пунктом. Если мы посмотрим на другую мобильную платформу — Windows, то увидим гораздо более запутанную ситуацию.

У нас есть вирусы, которые были написаны для Windows CE 2003. Именно для них в нашей классификации был создан префикс WinCE. Однако вредоносные программы, созданные для Windows Mobile 5.0, не могут функционировать на старой платформе. А название Windows CE не совсем правильно использовать как синоним для Windows Mobile или Pocket PC, хотя они все являются разными реализациями платформы Windows CE. Каждая из них использует свой набор компонентов Windows CE плюс свой набор сопутствующих особенностей и приложений.

Таким образом, мы не можем отразить в существующей классификации точное название платформы, необходимое для функционирования конкретного вируса. Кроме того, ряд вирусов требует для своей работы установленного расширения .NET для WinCE/Windows Mobile. Для них мы используем стандартный префикс MSIL, что абсолютно не указывает на то что, данный вирус — мобильный.

Вы уже запутались? Погодите, это все еще самые небольшие проблемы с классификацией. Мы подходим к самой запутанной части классификации — присвоению вирусу конкретного типа\поведения. Здесь проблемы возникают в связи с «гибридизацией», появлением кроссплатформенных вредоносных программ для мобильных устройств и разными подходами к классификации у разных антивирусных компаний.

Рассмотрим некоторые примеры.

Вирусные аналитики «Лаборатории Касперского» периодически сталкиваются с ситуацией, когда некий sis-файл (являющийся по своей сути архивом-инсталлятором) содержит в себе набор файлов: червь Cabir, червь ComWar, троянец PbStealer, несколько файлов Skuller.gen, несколько «пустых» файлов (нулевого размера), которые специфичны для троянца Locknut и при этом он еще устанавливает на карту памяти телефона Win32-зловреда (как это делают троянцы Cardtrap).

С точки зрения существующей классификации мы должны были бы классифицировать данный файл как Trojan-Dropper. Но мы не можем так поступить! Установленный Cabir будет рассылать через Bluetooth не самого себя, а именно этот sis-файл. Значит, его тоже следует считать червем? Но какое же имя у него будет? Cabir? Нет, его нельзя назвать Cabir и дать ему новую букву варианта, потому что на 90% содержимое этого sis-файла не имеет ничего общего с Cabir и мы только запутаем пользователя.

Можно подумать о Skuller, о Locknut, о Cardtrap, но ни одно из этих названий не будет точным и правильным, потому что это «гибрид». Скорее всего, в итоге этот файл будет классифицирован как Trojan, а название семейства будет выбрано исходя из уже имеющихся в нашей коллекции аналогичных троянцев, по совпадению второстепенных признаков, например по явному указанию на общего автора.

Подобные трудности классификации крайне редки в мире компьютерных вирусов, но возникают в подавляющем большинстве случаев при классификации вирусов мобильных.

Возможно, по мере снижения числа примитивных троянцев-вандалов случаи, подобные описанному, будут становиться все более редкими и мир мобильных вирусов в этом плане станет более четким и структурированным.

Пример номер два. Червь, работающий на Win32. Будучи запущен на персональном компьютере, помимо всего прочего, создает на диске E: sis-файл ( как правило, Symbian-телефоны при подключении к компьютеру монтируются именно как диск E:\). SIS-файл содержит в себе несколько файлов-пустышек и перезаписывает ими ряд системных приложений телефона. Также в файле содержится тот же самый Win32-червь, который копируется на карту памяти телефона и дополняется файлом autorun.inf.

Если такой зараженный телефон подключить к компьютеру и попытаться с него обратиться к карте памяти телефона — произойдет автозапуск червя и заражение компьютера.

Это пример кроссплатформенного вируса, который способен функционировать на совершенно разных операционных системах — Windows и Symbian. Такой червь уже существует и называется Mobler. Как классифицировать его?

Для кроссплатформенных вирусов у нас имеется префикс «Multi». Worm.Multi.Mobler? Но как из этого названия пользователи узнают, что данный червь опасен для Symbian-смартфонов? На наш взгляд, правильным является разделение его на две составляющие: win32-файл классифицировать как Worm.Win32.Mobler, а sis-файл как Worm.SymbOS.Mobler. Проблема в том, что другие антивирусные компании классифицируют sis-файл не как Mobler и не как червь. Они называют его Trojan.SymbOS.Cardtrap, потому что, согласно их классификации, любые зловреды, которые устанавливают Win32-зловреды на карты памяти телефона, — это Cardtrap. Но ведь он устанавливает не какого-то постороннего троянца. Он устанавливает свою основную компоненту, свою копию — только для другой операционной системы. Однако жесткие рамки существующих в антивирусных компаниях классификаций заставляют пытаться втиснуть в это прокрустово ложе все подобные нестандартные случаи. В конечном итоге от этого проигрывают все — и пользователи, и антивирусные компании.

Если же исходить из того, что способы распространения и поведения в системе у ряда мобильных вирусов кардинально отличаются от всего ранее известного, то и для отражения этих особенностей также необходимы новые классы. Например, Cabir (и любые черви, распространяющиеся через BlueTooth) логично называть Bluetooth-Worm (и сюда же можно было бы отнести червь Inqtana для MacOS). Черви, которые рассылают себя через MMS, назовем MMS-Worm. А что делать если червь рассылает себя и через BlueTooth и через MMS? Какой из двух способов распространения является «главным»? В «Лаборатории Касперского» могут считать, что MMS. Другие антивирусные компании могут полагать, что Bluetooth.

Троянец, который посылает с зараженного телефона SMS на платные номера, — это очевидно Trojan-SMS. А троянец, который перехватывает все входящие и исходящие SMS и отсылает их злоумышленнику, — это Trojan-Spy или тоже Trojan-SMS? Какое обозначение будет более понятным для пользователя и покажет риск от заражения?

Подобных вопросов и примеров я могу насчитать десятки...

Антивирусная индустрия рано или поздно столкнется с необходимостью создания единой классификации для мобильных вирусов. Это необходимо сделать как можно скорей, пока ситуация еще не стала критической и не началась путаница, схожая с путаницей в названиях одних и тех же компьютерных вирусов у разных антивирусных вендоров. К сожалению, опыт того, что для компьютерных вирусов так и не удалось создать общую (устраивающую всех) классификацию, не придает большого оптимизма.
Эпидемии

Попробуем разобраться, насколько распространены мобильные вирусы в современном мире. Довольно часто приходится слышать упреки и от пользователей и от журналистов в том, что антивирусные компании искусственно раздувают истерику и преувеличивают опасность. Мол, шансов на распространение Cabir крайне мало из-за того, что для его запуска пользователю необходимо три раза нажать подтверждение (прием, запуск, инсталляция). А ComWar не может получить большого распространения, потому что MMS не очень популярен и им мало кто пользуется (назывались цифры в 2% от общего числа пользователей мобильной связи). Об опасности заражения троянцем-вандалом, вроде Skuller, многие даже слышать не хотят — ведь для этого (полагают они) его необходимо самостоятельно скачать из интернета, скопировать на телефон и там запустить.

Да, с точки зрения теории — эти доводы логичны и действительно убедительны. Но мир компьютерных и мобильных вирусов, равно как и сами люди, имеющие дело с компьютерами и мобильными телефонами, постоянно опровергают любые подобные тезисы. Вероятность того, что пользователь примет и запустит Cabir — точно такая, как вероятность того, что пользователь примет и запустит файл, присланный ему по электронной почте неизвестно кем и неизвестно зачем. Запускают! Вспомните все гигантские по своим масштабам эпидемии почтовых червей последних лет: Mydoom, NetSky, Sober. Антивирусные компании без устали твердили: «Не запускайте файлы из почты, проверяйте их антивирусом». Но это не помогало — человеческое любопытство и несоблюдение элементарных правил безопасности оказываются сильней.
Cabir

Cabir был прислан в антивирусные компании в июне 2004 года. Спустя всего месяц стало известно о том, что на Филиппинах уже зафиксированы случаи заражения им. Это было удивительно. В тот момент мы считали, что Cabir является «коллекционным» червем и никогда не выйдет за пределы коллекций антивирусных компаний. На практике оказалось, что Cabir попал не только в антивирусные компании, но и к вирусописателям. Червь вырвался на свободу и начал свое победное шествие по миру.

Мы давно и очень успешно сотрудничаем с финской компанией F-Secure, которая стала одной из первых, кто обратил внимание на проблему мобильных вирусов и занимается иследованиями в этой области, посвящая им значительную часть своих публикаций. F-Secure сразу стала вести список стран, в которых был обнаружен Cabir. Менее чем за год, к лету 2005 года, этот список насчитывал уже 20 стран мира. Со своей стороны мы тоже вели подобную статистику, и сейчас в этом списке есть и наши данные. Кроме того, мы получали подтверждения о случаях заражения из различных стран, уже включенных в список. Таким образом, можно считать его действительно отражающим реальное положение дел и заслуживающим полного доверия.
Я приведу некоторые конкретные примеры случаев заражения Cabir. Девятой в списке стран значится Россия. Это произошло в январе 2005 года. К тому моменту мы уже имели информацию о том, что Cabir атакует владельцев телефонов в московском метро. Аналогичная информация была у нас и в отношении соседней Украины. Там Cabir «проявился» в Киеве и Харькове. Однако мы не могли считать эти случаи подтвержденными, поскольку у нас не было ни одного зараженного телефона и ни один пользователь не обратился в «Лабораторию Касперского» с этой проблемой. В январе этот «пробел» был устранен. Одна из сотрудниц фирмы, находящейся в том же офисном здании, что и «Лаборатория Касперского», напрямую обратилась в нашу службу технической поддержки с жалобой на то, что несколько дней назад ее телефон стал себя «странно вести» и началось это после того как она, находясь в метро, приняла через Bluetooth какой-то файл. Мы тут же осмотрели ее телефон в нашей вирусной лаборатории, и наши подозрения подтвердились — это был Cabir.a.

Позже, в течение всего 2005 года, мы еще неоднократно видели зараженные телефоны. Кроме этого, около 10 сотрудников нашей компании сами подвергались атакам со стороны Cabir, когда на их телефоны приходили запросы на прием файла с именем caribe.sis. Последний такой случай был зафиксирован нами в феврале 2006 года.

Наверное, самым показательным, массовым и известным случаем возникновения локальной эпидемии Cabir стал инцидент, произошедший в Хельсинки в августе 2005 года. В это время там проходил 10-й Чемпионат Мира по легкой атлетике. В Хельсинки находится штаб-квартира F-Secure, и они первыми стали получать сообщения о том, что на стадионе, где происходил Чемпионат, зафиксированы случаи заражения Cabir. В условиях, когда на небольшом пространстве оказались десятки тысяч человек со всего мира, одного зараженного телефона вполне хватило для того, чтобы червь стал быстро распространяться. На поле стадиона устанавливались спортивные рекорды, а в это время на трибунах Cabir ставил свои рекорды по скорости размножения. К счастью, сотрудники F-Secure действовали очень быстро: на стадионе, в зоне Customer Service Center, было отведено специальное место, куда мог прийти любой человек, подозревавший, что его телефон заражен вирусом. Там его телефон специальным образом проверяли и «очищали» от вируса. Если бы эпидемию не удалось локализовать, то в дальнейшем зараженные болельщики разъехались бы по своим странам, увозя с собой зараженные телефоны, и число стран, охваченных червем, могло бы заметно увеличиться.

Это ярчайший пример того, какие условия являются наиболее благоприятными для распространения Bluetooth-червей:
большое количество людей;
ограниченное пространство.

В зону риска попадают кафе, кинотеатры, аэропорты, вокзалы, метро, стадионы.

Bluetooth-черви имеют следующие особенности распространения:
радиус заражения ограничен радиусом действия Bluetooth-соединения (примерно 10-20 метров);
Bluetooth-червь не может заражать очередную жертву целенаправленно, например по заранее подготовленному списку или случайно сгенерированному номеру мобильного телефона. Заражение распространяется спонтанно — если уязвимый субъект обнаружен в радиусе действия заражения, то осуществляется попытка его заражения.
ComWar

Вторым мобильным червем, который был зафиксирован in-the-wild, является ComWar. В отличие от Cabir, который был сначала послан в антивирусные компании и только потом оказался на свободе, ComWar был обнаружен уже после того, как от него пострадали пользователи в нескольких странах и прислали подозрительные файлы на анализ в антивирусные лаборатории. Мы «познакомились» с ComWar в марте 2005 года, однако расследование инцидента выявило упоминания о нем на различных форумах пользователей мобильных телефонов (например, в Голландии и Сербии), относящиеся еще к январю 2005 года. Таким образом, можно с уверенностью констатировать, что ComWar как минимум два месяца распространялся по миру, не будучи известным антивирусным компаниям. Это показывает, насколько еще слабо налажено взаимодействие между пользователями и антивирусными компаниями в мобильной сфере. Если на обычных компьютерах любые подозрительные действия системы тут же ведут к возникновению у пользователя подозрения на вирус и обращению к нам, то для того чтобы подобная практика стала нормой у пользователей смартфонов, потребуется еще много времени.
К счастью, проблема MMS-червей волнует не только антивирусные компании, но и операторов мобильной связи. Они озаботились проблемой защиты своих пользователей от зараженных MMS и некоторые из них (в России) реализовали в своих сетях наши антивирусные решения — весьма схожие с теми, что используются для проверки традиционной электронной почты.

С этого момента нам стала доступна статистика с конкретными цифрами и динамикой. Оказалось, что в MMS-трафике присутствуют не только мобильные зловреды, но и традиционные компьютерные черви. Это связано с тем, что они посылают себя на адреса электронной почты, которые могут быть адресами MMS. Но сейчас нас интересуют именно мобильные черви.

Мы впервые публикуем часть этих данных в открытой печати. Они были получены в результате проверки всего MMS-трафика одного из российских мобильных операторов. Общее число проверенных MMS не разглашается по соглашению с данным оператором.
«Родина» вирусов

Когда заходит речь о компьютерных вирусах, то неизбежно встает вопрос о том, в каких же странах мира создается наибольшее их число. В западных средствах массовой информации бытует стереотип о превалирующей «русской угрозе». Но это — миф, который полностью разваливается при более внимательном взгляде. Одни авторы вирусов, вызывавших эпидемии последних лет, были арестованы, для других довольно легко установить страну их проживания:
черви Sasser и NetSky (Германия);
червь Zafi (Венгрия);
черви Bozori (Турция / Марокко);
бэкдоры Agobot и Codbot (Нидерланды);
червь Slammer (Восточная Азия);
червь Sober (Германия).

На долю «русских» приходятся, пожалуй, только черви Bagle, да и то, скорее всего, мы имеем дело с международной группировкой киберпреступников.

Согласно нашим наблюдениям, в настоящее время пальма первенства в этом печальном соревновании принадлежит Китаю, за которым следует Бразилия. Весьма значительный процент современных вирусов создается в Турции. Страны бывшего СССР можно сравнить именно с Турцией по числу создаваемых вирусов.

Если посмотреть на мобильные вирусы, то выяснится, что довольно похожая картина наблюдается и там. Для большинства вирусов из 31 семейства мы можем установить страну происхождения с большой степенью достоверности.

Как мы помним, Cabir был создан французом Vallez. После того как этот червь попал в компьютерный андеграунд, его модификации стали появляться как грибы после дождя. Наибольшую активность в создании новых вариантов проявили жители стран Юго-Восточной Азии: Филиппин, Индонезии, Малайзии, Китая. Когда бразилец Веласко стал создавать вирус Lasco — он тоже попутно создал несколько модификаций Cabir.

Бывший СССР отметился в мобильной вирусологии четырьмя зловредами. Правда, три из них стали концептуальными и первыми в своем роде. Первый бэкдор для WinCE, получивший название Brador, был создан программистом из Украины, известным под ником BrokenSword. Червь ComWar, которому в нашей статье уделено столь много внимания, несомненно был создан в России. Об этом свидетельствуют как тексты внутри самого червя, так и имеющаяся у нас информация о человеке с ником e10d0r. И третьим является троянец RedBrowser, автор которого неизвестен, но тексты в самом троянце и номера телефонов, на которые идет отправка SMS, однозначно указывают на его российское происхождение.

Что же касается троянца Locknut, то впервые он был обнаружен новозеландской антивирусной компанией SimWorks, а вывод о российском следе был сделан на основании весьма неблагозвучных текстов внутри самого троянца и имен его файлов.

Как мы уже отмечали, ряд вариантов ComWar содержит тексты на испанском языке. Исходя из этого можно было бы сделать предположение об Испании, однако у нас нет данных, подтверждающих наличие ComWar в этой стране (что могло бы стать косвенным признаком).

На долю Турции приходится несколько модификаций Skuller, Cardtrap, а также единственный известный нам троянец семейства Arifat.

Но наибольшее число мобильных зловредов, несомненно, создано в Китае и, возможно, Южной Корее. Тут мы не пришли к определенному выводу, поскольку мы имеем дело с весьма специфичной ситуацией. Проблема в том, что подавляющее большинство мобильных троянцев за последний год впервые были обнаружены и присланы в антивирусные компании именно из Южной Кореи. Однако расследование ряда инцидентов выявило следующие факты: троянцы были размещены на корейских серверах, которые были взломаны, и взлом их осуществлялся именно с территории Китая. В Китае были созданы такие вирусы, как PbStealer, StealWar и некоторые из вариантов практически в каждом из прочих троянских семейств.

И нельзя не отметить повышенную активность одного из вирусописателей в Малайзии. Его «перу» принадлежит большая часть из Skuller, возможно включая самый первый из них.

О чем говорят все эти факты? О том, что мир мобильных вирусов развивается по тем же законам, что и мир компьютерных зловредов. И те, и другие вирусы создаются в одних и тех же странах.
Проблемы ОС

Важнейшим фактором развития вредоносных программ на мобильных устройствах являются уязвимости в используемом программном обеспечении и самих мобильных операционных системах. В ситуации с персональными компьютерами почти все крупные вирусные эпидемии последних лет были вызваны именно наличием уязвимостей в ОС Windows. У злоумышленников существует всего два способа для проникновения в систему: человеческий фактор (социальная инженерия) и ошибки в программном обеспечении (уязвимости). Эти же вектора атак полностью применимы и для мобильных устройств.

Следует рассматривать как минимум три основных источника уязвимостей:
операционная система Windows CE;
операционная система Symbian;
беспроводные протоколы (Bluetooth, WiFi, инфракрасные порты).

Windows CE представляет собой крайне уязвимую, с точки зрения безопасности, систему. В ней не существует никаких ограничений для выполняемых приложений и их процессов. Запущенная программа может получить полный доступ к любым функциям ОС — приему\передаче файлов, функциям телефонных и мультимедийных служб и т.д.

Создание приложений для Windows CE крайне просто. Это весьма открытая для программирования система, позволяющая использовать возможности не только машинных языков (например, ASM for ARM), но и такой мощной среды разработки, как .NET.

Несмотря на то, что в настоящее время нам известны всего 4 семейства вирусов для Windows CE, не стоит недооценивать потенциал этой ОС — с точки зрения вирусописательства. Существующие вирусы в полной мере покрывают собой все самые опасные виды вредоносных программ: классический вирус, почтовый червь, бэкдор и червь, способный перебираться на телефон при его соединении с компьютером. Происходит стремительный взлет популярности платформ на основе Windows CE, и в ближайшие годы они могут занять первое место среди ОС для смартфонов, потеснив Symbian.

На фоне этого наблюдается рост интереса к этой платформе как со стороны вирусописателей, так и со стороны исследователей. Мы уже говорили о том, что в августе на конференции DefCon Collin Mulliner представил доклад об обнаружении уязвимости в обработке MMS на Windows CE 4.2x. На сегодняшний день Microsoft и ее партнеры ведут работы по устранению этой ошибки, но даже после выхода исправления будет необходимо уведомить всех пользователей уязвимых устройств о необходимости «перепрошивки» их смартфонов\КПК.

Не стоит забывать о том, что это только одна из серьезных уязвимостей в Windows CE, обнаруженная в последние месяцы. Существует возможность организации на мобильные устройства Denied of Service атак через уязвимости в ActiveSync и MMS\SMS.

Отдельную опасность представляют потенциальные уязвимости в Internet Explorer для Windows CE и программах преобразования форматов файлов. В том, что они существуют, у нас нет никаких сомнений. Вопрос только в том, кому первому удастся их обнаружить — вирусописателям или честным исследователям, вроде Collin Mulliner или Tim Hurman (последний обнаружил уязвимость Bluetooth stack remote code execution: информация об уязвимости полностью засекречена).

Первый вирус для Windows CE — Duts — использовал для своей работы одну из уязвимостей в файловом API, которая была неизвестна Microsoft (0-Day).

Подведем итог. Windows CE будет становиться популярней с каждым днем. Темпы появления вредоносных программ для этой платформы скоро могут сравняться с темпами symbian-malware. Основной средой для работы вирусов будет .NET. Значительная часть вирусов будет использовать те или иные уязвимости в WinCE.

Самой популярной embedded-OS сейчас является Symbian. Здесь ситуация с уязвимостями не столь угрожающа, как в Windows CE, однако эта защищенность кажущаяся. Сама архитектура Symbian Series 60 имеет ряд значительных ошибок-особенностей, которые мы считаем самыми настоящими уязвимостями. Мы уже говорили о том, что Symbian позволяет перезаписывать любые системные приложения без пользовательского согласия, а при возникновении проблем с нестандартным форматом файла система становится крайне нестабильной и может вызывать перезагрузку телефона. Кроме этого, уровни безопасности для приложений весьма похожи на аналогичные у Windows CE. Говоря проще, они просто отсутствуют. Если приложение попало в систему — оно имеет абсолютную власть над всеми функциями. К счастью, до сего времени не было обнаружено уязвимостей в обработке Bluetooth-соединений и MMS для этой платформы. Легко себе представить, что бы произошло, если бы Cabir или ComWar обладали возможностью для автоматического проникновения в систему и запуска.

Symbian более закрытая система, чем Windows CE. Для создания полнофункциональных приложений требуется специальный набор DDK стоимостью в несколько десятков тысяч долларов. Но, как видно по количеству троянских программ, при существовании уязвимостей в архитектуре ОС вирусописатели вполне обходятся средствами, доступными любому.

Сложилась довольно парадоксальная ситуация: Symbian популярней, чем WinCE, но серьезных уязвимостей для нее известно меньше. Как нам кажется, этому есть только одно объяснение: усилия исследователей пока еще не нацелены на Symbian в такой же мере, как на продукцию Microsoft. Однако даже беглый взгляд и простейшие эксперименты показывают, что ошибки в Symbian встречаются на каждом шагу. В подтверждение этих слов я представляю описание одной из них, которая может считаться еще неизвестной. Информация о ней была прислана нам одним из наших пользователей и была нами проверена и воспроизведена в нашей тестовой лаборатории.

Уязвимости подвержены телефоны, работающие на Symbian Series 6.x. Она была протестирована на Siemens SX-1 и Nokia 3650.

Достаточно создать файл с именем “INFO .wmlc”, где после INFO до точки находятся 67 пробелов. Содержимое файла может быть абсолютно произвольным (более 2 байт). Если этот файл послать на другое устройство через Bluetooth или инфракрасный порт (файл может быть послан в виде MMS, размещен на web-сайте и открыт при его посещении (не проверялось)), то получатель при открытии сообщения получит сообщение об ошибке «App. closed AppArcServerThread USER 8». После этого телефон начнет работать значительно медленнее и может происходить отказ в работе некоторых приложений с последующей перезагрузкой телефона.

Мы имеем дело с классической уязвимостью типа «отказ в обслуживании». Расширение «wmlc» связано со стандартным браузером, и при обработке нестандартного имени файла происходит ошибка в компоненте, отвечающем за запуск этого браузера. Нами не проводился детальный анализ уязвимости, возможно, что помимо отказа в обслуживании уязвимость позволяет выполнить произвольный код в системе.

Это сообщение можно считать официальным уведомлением для компании Symbian о существовании уязвимости.

Компания Symbian, сообщество производителей смартфонов на этой ОС, а также разработчики программ для нее уже обратили свое внимание на существование вирусов в этой операционной системе и прилагают все усилия, для того чтобы очередная версия Symbian была максимально защищена от любых вредоносных программ. Недавно был объявлено о том, что они реализуют архитектуру защиты приложений, похожую по своему устройству на технологию TrustingComputer, внедряемую на некоторых процессорах для PC. Планируется создать некую «защищенную область памяти», доступ к которой будут иметь только доверенные приложения. В принципе, такой подход может решить проблему с примитивными троянцами-вандалами типа Skuller, однако не избавит полностью от проблем с уязвимостями в самой ОС и ее приложениях. Кроме того, не стоит забывать еще об одном законе существования вирусов: «Вирус может делать в системе все то же, что может делать пользователь». А значит черви, рассылающиеся по Bluetooth и MMS, останутся реальностью и в будущем.

В этой статье мы не будем подробно останавливаться на уязвимостях в самих беспроводных протоколах Bluetooth и WiFi. Всех интересующихся этой стороной проблемы мы отсылаем к материалам исследований таких групп, как Trifinite или Pentest. Также мы уже публиковали результаты некоторых наших исследований в этой области. Отметим только, что несмотря на то что существует достаточное число уязвимостей в беспроводных протоколах на мобильных устройствах, пока еще вирусописатели не начали их использование в своих творениях. Однако в том, что это дело самого ближайшего будущего, у нас нет никакого сомнения.
Источник.

_________________
Извините, что я говорю, когда вы перебиваете.


Вернуться к началу
 Профиль  
Cпасибо сказано 
Показать сообщения за:  Поле сортировки  
Начать новую тему Ответить на тему  [ 1 сообщение ] 

Часовой пояс: UTC + 3 часа



Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 1


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Искать в этом форуме:
Перейти:  
cron
Рейтинг@Mail.ru Rambler's Top100
Powered by phpBB © 2000, 2002, 2005, 2007 phpBB Group
Вы можете создать форум бесплатно PHPBB3 на Getbb.Ru, Также возможно сделать готовый форум PHPBB2 на Mybb2.ru
Русская поддержка phpBB