ПравилаРегистрацияВход
НАВИГАЦИЯ

Описание вирусов для смартфонов и способы лечения

Модератор: Vladimir
Список форумов » Полезные советы
АВТОРСООБЩЕНИЕ
Vladimir
Moderator
Avatar
Имя: Владимир
Сейчас нет на сайте
Репутация: 12
Регистрация: 7.02.2007
Всего сообщений: 1583
Откуда: в. Ростов-на-Дону
13 декабря 2008, 01:56
Трояны ( JAVA )

Red Browser
Представляет собой JAVA-приложение: он может быть загружен на телефон как из Интернета, так и другими способами - через Bluetooth-соединение или с персонального компьютера. Вирус маскируется под программу, позволяющую посещать WAP-сайты без необходимости настройки WAP-подключения. Такая возможность достигается за счет отправки и приема бесплатных SMS-сообщений. "Троян" же рассылает SMS на некоторые платные мобильные сервисы. За каждое подобное сообщение со счета пользователя снимается 5-6 долларов. Таким образом, почти моментально на счету абонента не остается средств.

Cool_SMS
Технические детали.
Троянская программа для телефонов, поддерживающих платформу Java.
Вредоносная программа представляет собой файл формата jar.
Приложение является MIDP-1.0 мидлетом.
Размер файла - 77 869 байт.
Распространение и инсталляция.
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать файл Cool_Sms.jar и запустить вредоносную программу.
Вредоносная программа маскируется под сборник SMS сообщений, который позволяет отправлять сообщения стандартными средствами мобильного телефона. Имеет русскоязычный интерфейс.
Архив содержит в себе следующие файлы:
FS.class - вспомогательный файл (2 103 байта);
FW.class - вспомогательный файл (2 664 байта);
S.class - вспомогательный файл (1 507 байт);
CoolSMS.png - файл изображения (2 755 байт);
Error.png - файл изображения(2 554 байта);
Wait.png - файл изображения(2 481 байт);
M.class - файл интерфейса (32 620байт);
SM.class - непосредственно само троянское приложение, осуществляющее отправку SMS (1 945 байт);
sms1.html - подборка SMS (7 498 байт);
sms2.html - подборка SMS (139 860 байт);
sms3.html - подборка SMS (62 885байт);
sms4.html - подборка SMS (25 699байт);
sms5.html - подборка SMS (60 878байт);
sms6.html - подборка SMS (57 389байт);
Файлы sms1.html, sms2.html, sms3.html, sms4.html, sms5.html, sms6.html содержат тексты SMS сообщений, которые программа может отправлять по выбору пользователя, на указанный пользователем номер. Примеры текстов этих сообщений представлены ниже:
sms1.html:
«Твой сосед купил новую мебель. Сегодня ночью приду тебя душить.
Жаба.»
«Поздравляю тебя с наступающим божественным праздником.
Желаю следующий праздник встретить в раю... »
....
Sms2.html:
«Никогда не откладывай на завтра то, что можно и не делать. »
«Доехала нормально, целую.
Твоя крыша.»
....
Sms6.html:
«Его ушами в холода,
Я укрываюсь иногда...»
«Долго её мужики истязали,
Били лопатой, зубами кусали,
К горлу подставили ржавую вилку...
Все тки, открыли пивную бутылку!»
....
-Эти SMS будут отправлены только адресату, который был выбран пользователем. Кроме этого вредоносная программа, параллельно посылает SMS со словом "text" на платные номера.
Деструктивная составляющая.
В момент, когда пользователь отправляет выбранные им сообщения, вредоносная программа Cool_Sms.jar отправляет SMS на некоторые платные номера. Отправка SMS заканчивается только тогда когда опустошается лицевой счет абонента.
Программа имеет деструктивный функционал, полностью совпадающий с функционалом RedBrowser.a. Однако в сети вредоносная прграмма распространяется под именем Cool_SMS.jar (программа весьма распространена в сети) и имеет при этом собственную маскирующую программу отличную от RedBrowser.a - это может ввести пользователя в заблуждение.
К тому же при дизассемблировании файлаM.class, представляющего собой интерфейс маскирующей программы, обнаружились следующие строки:
0000 0034.import SM
0000 0035 SM.send(Ljava/lang/String;Ljava/lang/String;)I
0000 0036 SM.IS()I
0000 0037 SM.GS()I
......
0000 053C invokestatic SM.send(Ljava/lang/String;Ljava/lang/String;)I
Это показывает, что программа Cool_Sms написана СПЕЦИАЛЬНО для маскировки вредоносных действий вируса.
Исходя из всего вышесказанного, автор считает целесообразным выделение Cool_Sms в виде отдельного вируса, либо новой модификации RedBrowser.
Рекомендации по удалению.
Программа удаляется посредством файлового менеджера, например файловым менеджером System Explorer v 1.80


SMSi.a
Технические детали.
Троянская программа для телефонов, поддерживающих платформу Java.
Вредоносная программа представляет собой файл формата jar (возможное название isms.jar).
Приложение является MIDP-2.0 мидлетом. Название мидлета - iSMS.
Размер файла - 12 037 байт.
Распространение и инсталляция.
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать файл *.jar, либо принять его по Bluetooth и после этого запустить вредоносную программу. Вирусное приложение выдает себя за программное обеспечение, способное отправлять sms сообщения от имени любого номера отправителя. Зловред имеет русскоязычный интерфейс.
При выборе страны отправителя отображается следующий список стран:
Россия
Украина
Украина(Life:)
Казахстан
Таджикистан
Эстония
Литва
Латвия (Tele-2)
Латвия (Lmt)
В вирусной программе отображается следующее сообщение:
"iSMS - это уникальное java-приложение для отправки SMS с любого номера.
В поле ввода "от кого" можно указывать как номер телефона (в международном формате), так и любое слово, например: "79261234567" или "Putin". В поле ввода "на какой номер" следует четко указать номер телефона (в международном формате), кому адресовано сообщение. Для увеличения длины сообщения используйте latinskie bukvy."
А также следующий текст правил отправки SMS:
"Запрещается отправлять шутки содержащие информацию, носящую незаконный характер, включая информацию, нарушающую честь и достоинство, права и охраняемые законом интересы граждан, ложную или клеветническую информацию, материалы, способствующие разжиганию национальной розни, призывающие к совершению насилия над каким-либо лицом или группой лиц, содержащие инструкцию по совершения противоправной деятельности, в том числе разъясняющие порядок изготовления и/или применения взрывчатых веществ, оружия и наркотических средств. Так же запрещается использовать названия брэндов компания (в том числе и операторов связи) без их согласия.
При нарушении одного из этих правил, Ваше сообщение может быть не доставлено адресату."
Архив содержит в себе следующие файлы:
ISms.class - основной класс троянской программы, осуществляющей отправку SMS (2 814 байт);
logo.png - файл изображения (983 байт);
CoCanvas.class - (3 709 байт);
LogoCanvas.class - (1 933 байт);
MyCanvas.class - (11 005 байт);
e.png - файл изображения (182 байт);
i.png - файл изображения (178 байт);
Sms.png - иконка приложения (153 байт);
Info.txt - текстовый файл (179 байт);
Файл Info.txt содержит в себе следующую текстовую информацию:
"iSMS - Java-приложение для отправки SMS-сообщений с любого номера.
Стоимость номеров:
9916 - 2.8 у.е.
1161, 5013, 1390 - 3 у.е.
13202 - 3.5 у.е.
26000613, 29301199 - 5 у.е."
Деструктивная составляющая.
Вредоносная программа отправляет SMS сообщения на платные premium номера. В результате чего со счета пользователя снимаются денежные средства, часть из которых идет на счет вирусописателя.
Рекомендации по удалению.
Программа удаляется посредством файлового менеджера. Для полного удаления вируса из операционной системы необходимо закрыть программное обеспечение, если оно запущено, после чего удалить файл jar.


Swapi.c
Технические детали.
Троянская программа для телефонов, поддерживающих платформу Java.
Вредоносная программа представляет собой файл формата jar (возможное название BySmS_s-c.ru.jar).
Приложение является MIDP-2.0мидлетом. Название мидлета - BySmS.
Размер файла - 119 396 байт.
Распространение и инсталляция.
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать файл *.jar, либо принять его по Bluetooth и после этого запустить вредоносную программу.
Архив содержит в себе следующие файлы:
HotSex.class - основной класс троянской программы, осуществляющей отправку SMS (3 114 байт);
ico.png - иконка приложения (320 байт);
pr 008.jpg - файл изображения (71 323 байт);
pr 010.jpg - файл изображения (23 554 байт);
pr 011.jpg - файл изображения (22 907 байт);
Деструктивная составляющая.
Вредоносная программа отправляет SMS сообщения на платные premium номера. В результате чего со счета пользователя снимаются денежные средства, часть из которых идет на счет вирусописателя.
Рекомендации по удалению.
Программа удаляется посредством файлового менеджера. Для полного удаления вируса из операционной системы необходимо закрыть программное обеспечение, если оно запущено, после чего удалить файл jar.


SMSFree.d
Технические детали.
Троянская программа для телефонов, поддерживающих платформу Java.
Вредоносная программа представляет собой файл формата jar (sms,jar).
Приложение является MIDP-2.0 мидлетом.
Размер файла – 32 652 байт.
Распространение и инсталляция.
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать файл sms.jar, либо принять его по Bluetooth и после этого запустить вредоносную программу.
Вредоносная программа маскируется под полезное программное обеспечение, которое якобы позволяет отправлять бесплатные смс сообщения в следующие страны: Россия, Украина, Латвия, Литва, Эстония, Азия. Имеет русскоязычный интерфейс.
При запуске приложения выводится следующая инструкция:
“Программа Для отправки sms с подменой номера, вам нужно правильно выбрать страну, заполнить все поля, и разрешить отправку sms, сервис абсолютно бесплатный”
Архив содержит в себе следующие файлы:
a.class — вспомогательный файл (1 507 байт);
FreeSMS.class — непосредственно само троянское приложение, осуществляющее отправку SMS (1 945 байт);
slots.png — файл изображения (6 869 байт);
sms.png — файл изображения (1 034 байт);
x1.png — файл изображения (8 030 байт);
x2.png — файл изображения (7 650 байт);
x3.png — файл изображения (5 919 байт);
Деструктивная составляющая.
В момент, когда пользователь пробует отправить желаемые сообщения, вредоносная программа sms.jar отправляет SMS на платные номера. Пользователю неоднократно показываются ошибки при отправке, для того чтобы вынудить его повторять попытки и отправлять сообщения на платные номера.
Рекомендации по удалению.
Программа удаляется посредством файлового менеджера, например файловым менеджером System Explorer. Для полного удаления вируса из операционной системы необходимо закрыть программное обеспечение, если оно запущено, после чего удалить файл sms.jar


SmsAlarm
Троянская программа для телефонов, поддерживающих платформу Java.
Вредоносная программа представляет собой файл формата jar.
Приложение является MIDP-2.0 мидлетом.
Размер файла - в зависимости от модификации от 12 кб до 41,4 кб.
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать и запустить зловредное приложение.
Известные имена модификаций вируса:
porno.jar
PORNO_XXX_HARD_SEX_i.jarsex_s_uchilkoy.jarsms_sender.jar
spam_sms.jar
XXX_SEX.jar
Lena.jar а также возможны другие женские имена
При запуске отображаются сообщения, смысл которых сводится к тому, чтобы пользователь подтвердил установку вредоносной программы. Далее через некоторый промежуток времени начинается отправка сообщений (платных) на специальный короткий номер до полного обнуления баланса.
Примеры сообщений запросов на отправку SMS:
"Search""Play""PORNO_GAME""CLICK "YES"
"BAM 18?"
Некоторые запросы дублируются в графической форме.
Каждая модификация данного вируса содержит в себе основной класс мидлета SMSAlarm.class.

Вирусы Symbian OC:

Doomboot.k
Технические детали:
Троянская программа для смартфонов, работающих под управлением ОС Symbian.
Вредоносная программа представляет собой SIS файл.
Размер файла - 63 393 байта.
Распространение:
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать и запустить вредоносную программу.
Вирус маскирует себя под специальную версию антивирусного приложения exoVirusStop v 2.13.16. При установке выдается следующее сообщение:
«Установить "exoVirusStop v 2.13.16"?»
При инсталляции вредоносная программа создает в телефоне 17 файлов
C:\ETel.dll
C:\etelmm.dll
C:\etelpckt.dll
C:\etelsat.dll
C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.app
C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.MBM
C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.MDL
C:\system\apps\Cabir AA detected\Cabir AA detected EVS is disinfecting re-boot your phone.rsc
C:\system\apps\EVS\EVS.aif
C:\system\apps\EVS\EVS.app
C:\system\apps\EVS\EVS.rsc
C:\system\apps\EVS\EVS_caption.rsc
C:\system\apps\EVS\exovirusstop.mbm
C:\system\apps\velasco\marcos.mdl
C:\system\apps\velasco\velasco.app
C:\system\apps\velasco\velasco.rsc
Кроме указанных выше файлов в теле вредоносной программы имеется текстовой файл PopUp0.txt, в котором содержится следующая информация:
«For updates visit www.exosyphenstudio.com.
If there is a virus re-boot your phone after disinfection»
Отметим также, что по окончанию процесса инсталляции вредоносной программы текст файла PopUp0.txt на экране мобильного устройства не выдается.
Деструктивная составляющая:
После инсталляции вредоносной программы происходит подмена системных библиотек на поврежденные файлы. Из-за чего после перезагрузки системы мобильное устройство не загружается.
Рекомендации по удалению:
Сброс состояния памяти и настроек телефона в заводской вид служебным кодом (для смартфонов Nokia код *#7370#) или хард ресет, либо сменой прошивки телефона.


Blankfont.a
Вредоносная программа для сматфонов, работающих под управлением ОС Symbian.
Вредоносная программа представляет собой файл формата SIS.
Размер файла - 2 917 байт.
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать вредоносную программу через Internet или Bluetooth и подтвердить установку этого приложения к себе на смартфон.
Вирус пытается замаскироваться под обычное приложение. Пользователь же, ничего не подозревая, может подтвердить установку.
После установки вредоносной программы в диспетчере приложений появляется запись об установленной программе Rally 2:
При инсталляции программа создает в телефоне следующие файлы:
C:\system\fonts\Panic.gdr
Panic.gdr- файл шрифта. Однако он является файлом пустышкой, содержащим пустой шрифт. Таким образом, все надписи в смартфоне исчезают, и пользователь больше не может им пользоваться, разве что по памяти.
Удаление:
если смартфон не перегружали,удаляем с помощью файл-менеджера,в противном случае Хард ресет.


Romride.a
Троянская программа для смартфонов, работающих под управлением ОС Symbian.
Вредоносная программа представляет собой SIS файл Nokia Live.sis.
Размер файла - 3 233 байта.
Собственной процедуры распространения не имеет.
Инсталляции вредоносной программы осуществляется пользователем смартфона.
При инсталляции программа создает в телефоне 13 следующих файлов:
C:\System\Bootdata\CommonData.D00
C:\System\Bootdata\FirstBoot.dat
C:\System\Bootdata\LocaleData.D01
C:\System\Mail\00001000
C:\System\Mail\00100000
C:\System\Mail\00100001
C:\System\Schedules\Schedules.dat
C:\System\Shareddata\101f857a.ini
C:\System\Shareddata\10005a40.ini
C:\System\Shareddata\100056c6.ini
C:\System\Shareddata\100058f1.ini
C:\System\Shareddata\10005943.ini
C:\System\Shareddata\reserve.bin
Файлы являются поврежденными, имеют неверный формат либо имена, из-за чего система может работать не стабильно.
После установки отображает окно со следующим текстом:
Please Reboot Your Phone!ID:(c) Nokia
и в диспетчере приложений смартфона появляется запись о установленной вредоносной программе "Nokia Live".
Удаление:
Для удаления вредоносной программы достаточно установить файловый менеджер с поддержкой отображения скрытых и системных файлов и удалить следующие файлы:
C:\System\Bootdata\CommonData.D00
C:\System\Bootdata\FirstBoot.dat
C:\System\Bootdata\LocaleData.D01
C:\System\Mail\00001000
C:\System\Mail\00100000
C:\System\Mail\00100001
C:\System\Schedules\Schedules.dat
C:\System\Shareddata\101f857a.ini
C:\System\Shareddata\10005a40.ini
C:\System\Shareddata\100056c6.ini
C:\System\Shareddata\100058f1.ini
C:\System\Shareddata\10005943.ini
C:\System\Shareddata\reserve.bin
После чего перезагрузить телефон.


Dampig.a
Троянская программа для сматфонов, работающих под управлением ОС Symbian.
Вредоносная программа представляет собой установочный SIS архив.
Размер файла - 99 413 байт.
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать (через Internet, Bluetooth) и сам подтвердить установку этого приложения к себе на смартфон:
При установке вредоносной программы выдаются два сообщения:
1) Установить"UltraMP3-v4.0.1-XiMpDA"?
2) This installer was created with
MakeSis 0.9 by Gip. For info: gip_mad@email.it

Таким образом, вирус пытается замаскироваться под обычное приложение. Пользователь же, ничего не подозревая, может подтвердить установку.
При инсталляции программа создает в телефоне следующие файлы:
c:\images\images01.SIS (файл вируса SymbOS.Cabir.D)
c:\sounds\digital\002.SIS (файл вируса SymbOS.Cabir.D)
c:\system\recogs\FLO.MDL
c:\system\install\autoexecdaemon.SIS (файл вируса SymbOS.Cabir.C)
c:\system\install\comcoder.SIS (файл вируса SymbOS.Cabir.A)
c:\system\system\apps\[YUAN]\[YUAN].aif
c:\system\system\apps\[YUAN]\[YUAN].app (файл вируса SymbOS.Cabir.C)
c:\system\system\apps\[YUAN]\[YUAN].rsc
c:\system\system\apps\[YUAN]\[YUAN]_CAPTION.rsC
c:\system\system\apps\[YUAN]\flo.mdl
c:\system\system\apps\BtUi\BTUI.aif
c:\system\system\apps\BtUi\BTUI.app
c:\system\system\apps\BtUi\BTUI.R01
c:\system\system\apps\BtUi\BTUI.R13
c:\system\system\apps\BtUi\BTUI_CAPTION.r01
c:\system\system\apps\BtUi\BTUI_CAPTION.R13
c:\system\system\apps\FExplorer\FExplorer.aif
c:\system\system\apps\FExplorer\FExplorer.app (файл вируса SymbOS.Cabir.C)
c:\system\system\apps\FExplorer\FExplorer.rsc
c:\system\system\apps\FExplorer\FExplorer_CAPTION.rsC
c:\system\system\apps\FExplorer\flo.mdl
c:\system\system\apps\File\File.aif
c:\system\system\apps\File\File.app(файл вируса SymbOS.Cabir.C)
c:\system\system\apps\File\File.rsc
c:\system\system\apps\File\File_CAPTION.rsC
c:\system\system\apps\File\flo.mdl
c:\system\system\apps\FREAKBtUi\FREAKBtUi.aif
c:\system\system\apps\FREAKBtUi\FREAKBtUi.app
c:\system\system\apps\FREAKBtUi\FREAKBtUi.R01
c:\system\system\apps\FREAKBtUi\FREAKBtUi.R13
c:\system\system\apps\FREAKBtUi\FREAKBtUi_CAPTION.r01
c:\system\system\apps\FREAKBtUi\FREAKBtUi_CAPTION.R13
c:\system\system\apps\SmartFileMan\flo.mdl
c:\system\system\apps\SmartFileMan\SmartFileMan.aif
c:\system\system\apps\SmartFileMan\SmartFileMan.app (файл вируса SymbOS.Cabir.C)
c:\system\system\apps\SmartFileMan\SmartFileMan.rsc
c:\system\system\apps\SmartFileMan\SmartFileMan_CAPTION.rsC
c:\system\system\apps\SmartMovie\flo.mdl
c:\system\system\apps\SmartMovie\SmartMovie.aif
c:\system\system\apps\SmartMovie\SmartMovie.app (файл вируса SymbOS.Cabir.C)
c:\system\system\apps\SmartMovie\SmartMovie.rsc
c:\system\system\apps\SmartMovie\SmartMovie_CAPTION.rsC
c:\system\system\apps\SystemExplorer\flo.mdl
c:\system\system\apps\SystemExplorer\SystemExplorer.aif
c:\system\system\apps\SystemExplorer\SystemExplorer.app (файл вируса SymbOS.Cabir.C)
c:\system\system\apps\SystemExplorer\SystemExplorer.rsc
c:\system\system\apps\SystemExplorer\SystemExplorer_CAPTION.rsC
После установки вредоносной программы в диспетчере приложений появляется запись об установленной программе UltraMP3-v4.0.1-XiMpDA
и не работоспособными становятся некоторые системные приложения, такие как:
BtUi- управление Bluetooth устройством
FExplorer
File
FREAKBtUi
SmartFileMan
SmartMovie
SystemExplorer
Также вирус копирует несколько различных модификаций Cabir на смартфон, которые срабатывают не только после перезагрузки мобильного устройства, но и в случае запуска пользователем одного из поврежденных системных приложений.


RomWar.a
Технические детали:
Вредоносная программа для сматфонов, работающих под управлением ОС Symbian.
Вредоносная программа представляет собой файл формата SIS.
Размер файла - 29 434 байта.
Распространение:
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать и запустить зловредное приложение.
В процессе установки вредоносной программы выдается сообщение:
«Установить "Stoper by WarriorMarrior"?»
При инсталляции программа создает в телефоне следующие файлы:
c:\System\Recogs\RecStoper.mdl
c:\System\apps\Skins\WarriorMarrior\Startup.app
c:\System\apps\Skins\WarriorMarrior\Startup.r02
Файл Startup.app является исполняемым файлом формата EPOC и имеет размер 25 948 байт. RecStoper.mdl - файл автозапуска вируса в случае перезагрузки.
Деструктивная составляющая:
Файл Startup.app является повреждённым, вследствие чего при включении мобильного устройства оно может работать не стабильно, либо вообще отказаться загружаться, выдав сообщение об ошибке.
Рекомендации по удалению:
Для удаления вируса достаточно удалить файловым менеджером следующие файлы:
c:\System\Recogs\RecStoper.mdl
c:\System\apps\Skins\WarriorMarrior\Startup.app
c:\System\apps\Skins\WarriorMarrior\Startup.r02


Viver.a
Вредоносная программа для сматфонов, работающих под управлением ОС Symbian.
Вредоносная программа представляет собой установочный SIS архив.
Размер файла - 42962 байт.
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать вредоносную программу через Internet или Bluetooth и подтвердить установку этого приложения к себе на смартфон.
Вирус пытается замаскироваться под обычное приложение. Пользователь же, ничего не подозревая, может подтвердить установку. После установки вредоносной программы в диспетчере приложений появляется запись об установленной программе RulesViwer
При инсталляции программа создает в телефоне следующие файлы:
c:\system\apps\RulesViver\data.bin
c:\system\apps\RulesViver\editor.dat
c:\system\apps\RulesViver\photo.jfif
c:\system\apps\RulesViver\RulesViver.aif
c:\system\apps\RulesViver\RulesViver.app
c:\system\apps\RulesViver\RulesViver.rsc
RulesViver.app является исполняемым файлом формата EPOC и имеет размер 19132 байт. Это основной файл троянца.
RulesViver.aif- иконка приложения.
RulesViver.rsc- файл ресурсов программы.
photo.jfif - рисунок, размер которого 176x208 пикселов.
Файлы data.bin и editor.dat, предназначенные для того, чтобы закамуфлировать основное назначение вируса.
Вредоносная программаRulesViver.sis является трояном.Основное назначение этой вредоносной программы -отсылка SMS на специальные платные номера, вследствие чего со счета владельца мобильного аппарата снимаются определенные суммы денег, часть которых поступает злоумышленнику.
Для работы использует функции из следующих системных библиотек:
APGRFX.DLL
APPARC.DLL
AVKON.DLL
BAFL.DLL
BITGDI.DLL
CONE.DLL
EFSRV.DLL
EIKCORE.DLL
ETEXT.DLL
EUSER.DLL
FBSCLI.DLL
GSMU.DLL
MSGS.DLL
SMCM.DLL
WS32.DLL
Удаление:
Для удаления вредоносной программы достаточно удалить файловым менеджером следующие файлы:
c:\system\apps\RulesViver\data.bin
c:\system\apps\RulesViver\editor.dat
c:\system\apps\RulesViver\photo.jfif
c:\system\apps\RulesViver\RulesViver.aif
c:\system\apps\RulesViver\RulesViver.app
c:\system\apps\RulesViver\RulesViver.rsc
После чего перезагрузить мобильно устройство.


Icons
Троянская программа для мобильных аппаратов, работающих под управлением ОС Symbian.
Вредоносная программа представляет собой SIS файл.
Размер файла – 793 887 байта.
Собственной процедуры распространения не имеет.
Для заражения устройства пользователь должен сам скачать и запустить зловредное приложение.
В процессе установки вредоносной программы выдается сообщение:
Установить "ICONS" ?
При инсталляции программа создает в телефоне 139 файлов. В результате после установки вредоносной программы происходит замена иконок системных и некоторых пользовательских приложений на поврежденные иконки. После чего программы не запускаются. Кроме поврежденных иконок на мобильное устройство устанавливается червь Cabir, который после перезагрузки телефона начинает передавать себя через Bluetooth.
Список приложений, у которых происходит замена иконок:
About
AppInst
AppMngr
Autolock
Browser
BtUi
Bva
Calcsoft
Calendar
Camcorder
CamTimer
CbsUiApp
CERTSAVER
Chat
ClockApp
CodViewer
ConnectionMonitorUi
Converter
Cshelp
DdViewer
FileManager
GS
ImageViewer
Location
Logs
Mce
MediaGallery
MediaPlayer
MediaSettings
Menu
Mmcapp
MMM
MmsEditor
MmsViewer
MsgMailEditor
MsgMailViewer
MusicPlayer
Notepad
NpdViewer
NSmlDMSync
NSmlDSSync
Phone
Phonebook
Pinboard
PRESENCE
ProfileApp
ProvisioningCx
PSLN
PushViewer
Satui
SchemeApp
ScreenSaver
Sdn
SimDirectory
SmsEditor
SmsViewer
Speeddial
Startup
SysAp
ToDo
Ussd
VCommand
Vm
Voicerecorder
WALLETAVMGMT
WALLETAVOTA
Удаление:
Хард ресет,либо смена прошивки.


Doomboot.a
Троянская программа для смартфонов, работающих под управлением ОС Symbian.
Вредоносная программа представляет собой SIS файл.
Размер файла – 55 465 байта.
Собственной процедуры распространения не имеет.
Для заражения устройства пользователь должен сам скачать и запустить зловредное приложение.
При установке выдается следующие сообщения:
1) Установить " Doom 2 cracket DFT v1.0 "?
2) Заменить 0.00 на 1.00 ?
Таким образом, вредоносная программа маскируется под взломанную версию популярной программы-игрушки Doom 2. Ничего не подозревающий пользователь мобильного аппарата может подтвердить установку приложения.
При инсталляции программа создает в телефоне 5 файлов:
C:\ETel.dll
C:\etelmm.dll
C:\etelpckt.dll
C:\etelsat.dll
C:\Commwarrior.B.sis
После установки вредоносной программы на мобильное устройство происходит подмена системных библиотек на поврежденные. Из-за чего после перезагрузки смартфон лишается своего основного функционала, либо не запускается совсем. Также на зараженное устройство устанавливается червь CommWarrior.b, который начинает искать активные Bluetooth устройства, в результате чего происходит ускоренная разрядка батареи телефона.
Рекомендации по удалению:
Хард ресет,либо смена прошивки телефона.


Doomboot.m
Технические детали.
Троянская программа для смартфонов, работающих под управлением ОС Symbian.
Вредоносная программа представляет собой SIS файл.
Размер файла – 70 674 байта.
Распространение.
Собственной процедуры распространения не имеет. Для заражения устройства пользователь должен сам скачать и запустить вредоносную программу.
Инсталляция.
При установке вредоносной программы выдается следующее сообщение:
«Установить “Leslie Loves”?»
При инсталляции вредоносная программа создает в телефоне 3 файла:
C:\ETel.dll
C:\system\data\IloveLeslie\LeslieLoves.jpg
C:\system\data\IloveLeslie\RecQWRD.mdl
Файлы LeslieLoves.jpg и RecQWRD.mdl являются файлами червя CommWarrior. Кроме указанных выше файлов в теле вредоносной программы имеется текстовой файл Read.txt, который отображается содержит в себе следующую информацию:
«File Uploading & Modified by WarriorMarrior.»
Деструктивная составляющая.
После инсталляции вредоносной программы происходит подмена системной библиотеки ETel.dll на поврежденный файл. Из-за чего после перезагрузки системы мобильное устройство может работать не корректно.
Рекомендации по удалению.
Удаление файлов
C:\ETel.dll
C:\system\data\IloveLeslie\LeslieLoves.jpg
C:\system\data\IloveLeslie\RecQWRD.mdl
и восстановление исходного, не поврежденного файла системной библиотеки C:\ETel.dll
Либо хард ресет, или смена прошивки телефона.
Dust
Administrator
Avatar
Сейчас нет на сайте
Репутация: 166
Регистрация: 27.07.2006
Всего сообщений: 6639
Откуда: Новосибирск
29 марта 2009, 10:10
Прежде чем что либо писать , читаем правила полезных советов!! .nota. .nu.
Список форумов » Полезные советы
  
Страница 1 из 1
Часовой пояс: GMT + 4
Мобильный портал, Profi © 2005-2016
Время генерации страницы: 0.057 сек
Общая загрузка процессора: 4%
SQL-запросов: 4
Rambler's Top100