Софтерра
Мобильные вредители
Вредоносные компьютерные программы появились довольно давно, и человечество (представители которого эти программы и придумали) со временем выработало, может быть, не слишком эффективные, но, скажем так, хорошо успокаивающие способы защиты от возникшей угрозы. Однако сегодня появляется все больше мобильников и смартфонов, многие из которых по возможностям не уступают ПК пятилетней давности, тогда как операционные системы «новичков» оказались незащищенными от быстро расплодившейся мобильной заразы. И если в случае с компьютером зловредную зверушку обычно ловят во время интернет-сеанса или установки пиратской копии программы, то в случае с телефонами опасность грозит все время, пока включен аппарат, - то есть фактически 24 часа в сутки.
Первая запись в истории развития мобильных вирусов была оставлена в самом конце XX века, точнее в июне 2000 года. В Испании тогда появилось некое подобие вирусообразной программы для мобильных аппаратов. Концепт носил имя Timofonica (приставка «timo» в переводе обозначает «мошенничество», «надувательство»), что по звучанию напоминало название крупнейшего пиренейского телекоммуникационного гиганта Telefonica. Вирус использовал весьма оригинальный способ подпортить жизнь владельцам мобильных телефонов: заражая компьютеры ничего не подозревающих людей, он посылал с них SMS-сообщения на телефоны местного GSM-оператора MoviStar, содержавшие одну строку на испанском языке: «Информация для вас: Telefonica вас надувает!» Российских пользователей, по понятным причинам, подобное SMS-хулиганство не затронуло. Да и вообще, назвать Timofonica типично мобильным вирусом не поворачивается язык, ведь он располагался на компьютере, то есть всецело использовал его ресурсы и распространялся по электронной почте, благодаря которой и рассылал сообщения, а собственно на мобильники вредного воздействия не оказывал.
В августе того же года забеспокоились абоненты японского оператора NTT DoCoMo. Их мобильники, оснащенные поддержкой сервиса i-mode, вдруг стали странно вести себя. Во время типичного online-голосования при помощи WAP-сервиса, при ответе на один из вопросов, трубки участвующих в викторине владельцев начали соединяться с номером местного отделения полиции, что привело к перегрузке служб более чем четырьмя сотнями загадочных звонков. В ходе расследования выяснилось, что в телефоны абонентов NTT DoCoMo, поддерживающие i-mode, оператором был вшит так называемый backdoor, разрешающий несанкционированный доступ к аппарату. Инцидент был замят, но после него-то и поползли слухи о беспощадных мобильных вирусах. Что ж, давайте поближе познакомимся с теми из них, кто действительно может претендовать на звание более или менее серьезной заразы.
Вирус, появившийся на свет в июне 2004 года, размножается на аппаратах под управлением операционной системы Symbian OS и распространяется только посредством Bluetooth-соединения. Сразу после попадания на чей-либо смартфон начинает постоянно сканировать эфир с целью поиска все новых и новых жертв. Помимо банального самовоспроизведения никакой опасности для смартфонов Cabir не представляет, кроме разве что ускоренного разряда батареи из-за активного использования Bluetooth. Обнаружив потенциального «клиента», зараженное устройство отправляет ему файл caribe.sis объемом 15 Кбайт. Для жертвы это выглядит так: на экране появляется предложение принять некое письмо, и, если пользователь дает согласие, на его телефон пересылается файл с вирусом, после чего система спрашивает разрешения инсталлировать программу под названием Caribe. Если и на этот вопрос следует утвердительный ответ, червь устанавливается в систему, для верности копируя себя сразу в несколько директорий. Автор мобильного червя Cabir - некто под псевдонимом Vallez, являющийся членом международной группировки 29А, которая специализируется на создании концептуальных программ-разрушителей. Ранее она прославилась такими компьютерными вирусами, как Cap (первый макровирус, вызвавший глобальную эпидемию), Stream (вирус для дополнительных потоков NTFS), Donut (первый вирус для платформы .NET), Rugrat (первый вирус для Win 64) и др. Главной жертвой программы являются аппараты под управлением Symbian OS, на которой, как известно, работают смартфоны и коммуникаторы Nokia, Sony Ericsson и Siemens. Но не исключено, что Cabir может обосноваться и в моделях других производителей. Способ борьбы с Cabir’ом очевиден - не устанавливайте на свой смартфон непонятно какую программу, пришедшую непонятно от кого.
Появился в первой половине 2005 года и способен атаковать аппараты под управлением Symbian Series 60, то есть, главным образом, смартфоны Nokia и ее лицензиатов. Предположительно разработан российскими хакерами, так как в своем коде имеет фразу «Отморозкам нет!». При заражении предлагает инсталлировать себя, маскируясь под какую-нибудь программу: утилиту-менеджера виртуального рабочего стола, программу для просмотра порнокартинок и даже антивирус. Распространяется по Bluetooth или MMS. Первый механизм распространения, реализованный в Commwarrior, существенно отличается от такового у Cabir. Cabir заражает лишь один телефон из всех доступных, и переключение на другое устройство происходит, только когда заражаемый телефон покинет территорию видимости или заблокируется владельцем. Commwarrior, в свою очередь, стремится заразить все телефоны, находящиеся в зоне досягаемости, так что распространяется он гораздо быстрее. Второй способ размножения заключается в рассылке своей копии всем абонентам из телефонной книги посредством MMS. Страшно подумать, на какую сумму можно залететь, если в списке контактов находится, скажем, сотня номеров.
Первенец среди вирусов для смартфонов и КПК, построенных на платформах Windows Mobile. Был обнаружен «Лабораторией Касперского» в октябре 2004 года. Вирус в виде файла размером 1520 байт может попасть на мобильное устройство по любым каналам связи с внешним миром: электронной почте, Интернету, при синхронизации с ПК, через сменные карты памяти или по беспроводной связи Bluetooth. Проникнув в систему, Duts выводит на экран следующий текст: «Dear User, am I allowed to spread?» («Дорогой пользователь, вы позволите мне размножиться?»). Те болезненно любопытные представители человечества, у которых хватит ума ответить «да» на этот запрос, установят вирус на свой мобильный телефон. При таком раскладе Duts внедряется в подходящие по формату и размеру (более 4 Кбайт) исполняемые файлы в корневой директории устройства. В процессе заражения вирус дописывает себя в конец целевого файла, используя одно из его неупотребительных полей для собственной пометки во избежание повторного инфицирования. Каких-либо деструктивных функций вирус не имеет. Происхождение у Duts то же, что и у Cabir, - его написал некто Ratter из уже известной нам группы 29A.
Типичный червь, поражающий сотовые телефоны, работающие под управлением Symbian Series 60. Обнаружен антивирусной компанией F-Secure в январе 2005 года. Распространяется двумя способами: посредством уже опробованной для этих целей Bluetooth-связи и через исполняемые файлы. Заметим, что второй способ в мобильных телефонах встречается впервые: происходит инфицирование установленных на телефоне SIS-файлов, добавление в их конец строчки velasco.sis (размер порядка 12 Кбайт) и модификация заголовков. Установка зараженного SIS-приложения приведет к его автоматическому запуску, однако, как и прежде, у пользователя будет запрошено подтверждение на установку вируса. Если червь получит разрешение, то его исполняемые файлы сначала будут скопированы в одни папки, а после запуска паразита скопируются и в другие. Такие сложные манипуляции позволяют Lasco заражать телефон, даже если программа устанавливается на съемную карту памяти. Кроме того, благодаря этому трюку пользователь не может уничтожить вирус, выполнив uninstall SIS-файла зараженной программы. Основное действие Lasco - саморазмножение. Автор вируса - бразильский программист Маркос Веласко.