Вирус превращает смартфон в "пустышку"

Радость от приобретения популярных современных смартфонов Nokia 7610 может оказаться неполной – новый вирус заменяет иконки на изображения черепов со скрещенными костями и превращает «продвинутое» и многофункциональное устройство в заурядный телефон, с помощью которого только и можно, что звонить.
Эксперты полагают, что файл программы, получившей название Skulls, «живет» на сайтах для загрузки условно-бесплатного ПО, откуда владельцы телефонов скачивают экранные обои, игры, мелодии и другие виды дополнительного ПО. К полноценным вирусам Skulls отнести нельзя – в программе отсутствует механизм распространения его собственного кода. В основе вредоносной программы – одна из особенностей операционной системы Symbian, состоящая в том, что при попытке открытия определенного файла из памяти ROM вместо него будет открыт файл с точно таким же именем, хранящийся на устройстве С:.

Новый вирус, как сообщает BBC, поражает смартфоны на платформе Symbian Series 60. Новая паразитная программа – последняя новинка в ряду недавно появившихся вирусов, предназначенных для атак мобильных телефонов.

В компании Symbian не могут сказать с уверенностью, намеренно ли создавался Skulls именно как вредоносносная программа, или же его появление - результат неумелого программирования. Вирус маскируется под «менеджера тем» - программу, создающую новые фоновые изображения и темы для основного экрана телефона марки 7610. Программа Skull хранится в виде файла с именем 7610.extended.theme.manager.zip. После инсталляции программа заменяет черепами иконки на экране телефона, после чего заменяет все работающие приложения – такие, как контакты, календарь, блокнот и другие - их неработоспособными аналогами. Телефон на глазах превращался в практически бесполезную побрякушку – единственное, что еще способен делать дорогой смартфон, это принимать и делать звонки.

В официальном заявлении компания Symbian указала на то, что новый вирус представляет весьма незначительную опасность. Вскоре после обнаружения новый вирус, по всей видимости, был удален с сайтов, ставших его невольными «рассадниками». Очень небольшое число владельцев Nokia 7610 стали его жертвами, к тому же при инсталляции программы они прошли несколько этапов, на одном из которых проигнорировали предупреждение системы безопасности. По мнению экспертов компании, вирус затронет лишь весьма незначительную долю телефонов этой марки – сам по себе путешествовать с телефона на телефон он неспособен. Тем не менее, финская антивирусная лаборатория F-Secure заявила, что периодически получает сообщения от владельцев телефонов 7610 о настигшей их беде. Компания выпустила даже специальное руководство по удалению зловредной программы и восстановлению нормальной работы смартфона. Согласно ее рекомендациям, скачавший программу пользователь, в частности, не должен перезагружать телефон.

Автора нового вируса компетентные органы пока что не «вычислили». Высказывается предположение, что за программой Skull смутно маячит тень опасного хакера, скрывающегося под псевдонимом Tee-222. Для других смартфонов с ОС Symbian – например, Sony Ericsson, Motorola, BenQ, Arima и Fujitsu Skulls – вирус опасности не представляет

Одновременно с появлением Lasco.A — нового вируса комбинированного действия, поражающего смартфоны, — зарегистрировано первое в России заражение мобильного телефона его «предтечей», вирусом Cabir.A.

Финская компания F-Secure сообщила о появлении вируса Lasco.A, в основе которого — программный код версии вируса Cabir, выявленной впервые месяц назад. Как и его предшественник, вирус Lasco.A избирательно поражает смартфоны на базе платформы Symbian Series 60.

Lasco.A представляет собой вредоносный программный код смешанного (червь-вирус) действия и распространяется с помощью Bluetooth со смартфона на смартфон, если «жертва» находится в режиме обнаружения (discoverable mode). Для инсталляции Lasco.A, поступающего на телефон в виде приложения к сообщению в папке «Входящие» (Inbox), необходимо согласие пользователя. Сразу после инсталляции Lasco.A предпринимает попытку отправить собственный инсталляционный пакет в виде *.SIS файла (его название — velasco.sis) на находящееся в пределах доступности Bluetooth-устройство. Чтобы надежно обезопасить собственный смартфон от проникновения в него нового вируса, необходимо перевести Bluetooth в «скрытый» режим работы (hidden, или non-discoverable).

Как и его предшественник, Lasco.A после разрыва связи способен возобновить процесс передачи собственной копии вновь, как только в радиусе действия Bluetooth (порядка десяти метров) появится новая потенциальная жертва. Вдобавок новый вирус вставляет свой код в инсталляционные *.SIS пакеты приложений, имеющиеся на смартфоне. Правда, в отличие от собственного кода, зараженные программы через Bluetooth самим вирусом не распространяются — заражение ими может произойти при пересылке пакетов пользователем. При передаче программы с зараженного телефона на здоровый, на него попадет также и вирус. При этом Lasco.A лишает пользователя возможности отключить Bluetooth.

Владельцы уже инфицированных Lasco.A смартфонов не смогут инсталлировать на свои аппараты антивирусное ПО через Bluetooth, однако могут загрузить программу для обнаружения и удаления вируса с сайта F-Secure через интернет с помощью встроенного браузера, имеющегося в устройствах на базе платформы Series 60.

Тем временем, как сообщает РБК, предтеча Lasco.A, вирус Cabir.A уже проник в Россию — здесь его первой жертвой пал мобильный телефон Nokia 7610. Ранее проникновение Cabir.A было зарегистрировано на Филиппинах, в Объединенных Арабских Эмиратах, Китае, Индии, Финляндии, Турции и Вьетнаме. Впервые Cabir.A дал о себе знать в июне минувшего года. Его предположительным автором является член интернациональной банды разработчиков вирусов «29А», скрывающийся под псевдонимом Vallez.

Worm.SymbOS.Lasco.a - червь для карманных компьютеров и сотовых телефонов, работающих под управлением Symbian OS. Кроме того, это первый вирус, заражающий исполняемые файлы (в частности, SIS-архивы) для данной платформы.

Вирус написан автором последних версий Symbian-червя Worm.SymbOS.Cabir и основан на его коде, поэтому процедура размножения посредством BlueTooth не отличается от таковой в случае с Worm.SymbOS.Cabir.

Помимо функции BlueTooth-червя, вирус также содержит функцию заражения файлов. При запуске он сканирует диск в поисках SIS-архивов, а найденные файлы пытается заражать посредством внедрения своего кода внутрь архива.

Вирус представлен в двух вариантах: приложение для платформы Win32, заражающее найденные SIS-файлы, и приложение для платформы Symbian.

velasco.sis, размер 15750 - основной файл вируса
sisinfect.exe, размер 69632 - инфектор, работающий в Windows. Сканирует локальные диски в поисках SIS-архивов, найденные пытается заражать, внедряя в них содержимое velasco.sis.
marcos.sis, размер 1579 - содержит модуль marco.mdl, устанавливающий velasco.sis в автозагрузку системы Symbian.

Вирусные файлы располагаются в директории

C:\\SYSTEM\\SYMBIANSECUREDATA\\VELASCO\\

мобильного устройства. Файл автозагрузки

C:\\SYSTEM\\RECOGS\\MARCOS.MDL.

Новозеландская антивирусная компания Symworks сообщила о появлении двух новых вредоносных программ для мобильных телефонов и смартфонов, работающих под управлением Symbian. Один из этих вирусов способен нарушать работу антивирусных программ, тем самым, обеспечивая себе безопасность существования.

Так называемый METAL Gear.a использует механизм блокирования антивирусных программ, который ранее был создан вирусописателями для вируса Skulls. Второй червь, SEXXY.a, является частью вируса METAL Gear.a и использует механизм распространения, впервые примененный в вирусе Cabir.c. Напомним, что Cabir.c является первым трояном, способным распространять себя на другие телефоны через Bluetooth-соединение....

Обнаруженный вчера вирус METAL Gear.a маскируется под Symbian-версию популярной игры Metal Gear Solid. Файл установки этого вируса носит название METAL Gear.sis. Как только пользователь установит этот файл, вирус блокирует антивирусные программы, все файловые менеджеры и несколько других приложений, очень затрудняя тем самым избавление от вредоносной программы.

В то же самое время троян устанавливает Cabir.c (обратите внимание на появившуюся иконку Metal Gear) и файл SEXXXY.sis. Решив поиграть в установленную игру, пользователь щелкает на значке Metal Gear и совершает роковую ошибку. Вместо игры активизируется вирус Cabir.c, который ищет поблизости устройства с Bluetooth и предлагает им в подарок файл SEXXXY.sis. И, наконец, если подарочек принят, то файл SEXXXY.sis блокирует кнопку выбора приложений на трубке.

Компания Symworks уже выпустила обновления для своей антивирусной программы, в которую отныне будет включен инструмент для удаления этих двух троянских программ.

Вот еще инфа про Metal Gear.

Новый "телефонный" вирус маскируется под игру

Под Новый год еще один вирус начал “гулять” по смартфонам на платформе Symbian Series60. Вредоносный код, скрывающийся под личиной мобильной версии игры Metal Gear Gold, весьма опасен, поскольку перед началом процедуры инфицирования телефона и своего распространения отключает антивирусное ПО.
При инсталлировании на смартфоне файла METAL Gear.sis вирус отключает антивирусное ПО, установленное на телефоне, все проводники файлов и ряд других приложений. Затем на телефон инсталлируется Cabir.G - один из вариантов троянца Skulls. После инсталляции троянец начинает через порт Bluetooth искать другие телефоны, которые можно также инфицировать. Обнаружив подходящий, он направляет на него файл SEXXXY.sis. Если владелец телефона не заблокирует пересылку файла, вирус «отключает» работу кнопки "выбор" (select) на телефоне.

Компании, специализирующиеся на разработке антивирусов и обеспечении безопасности, немедленно приступили к поиску средств борьбы с новой напастью. Компания Symworks выпустила новую версию своей антивирусной программы для платформы Series60, в которой есть средства борьбы с новым троянцем, а F-Secure обнародовала ряд сведений о новом вирусе. При этом компания отмечает широкую популярность данной платформы и рост числа мобильных устройств на ее основе – на сегодня таковых в мире насчитывается более 20 млн.

По данным компании, в минувший вторник появились новые версии вирусов Skulls.C, Cabir.F и Cabir.G. Кроме того, специалисты F-Secure утверждают, что новый вирус не может отключить ее собственную антивирусную программу для мобильных телефонов. Средства для борьбы с вирусом и соответствующие рекомендации предложила Symantec.

Резкий взлет киберпреступности всех видов, которым отмечен уходящий год, вновь и вновь анализируют эксперты по вопросам безопасности. Все они сходятся на том, что одним из важнейших событий 2004 года, преобразивших наши представления об уязвимости компьютерных сетей, явилось появление первых вирусов для мобильных телефонов. Специалисты с тревогой заявляют, что будущее – за ними.

В июне 2004 года появился вирус Cabir, способный самостоятельно «разбрасывать» собственные копии на другие мобильные устройства, используя для этого протокол Bluetooth. Затем появилась игра Mosquito для телефонов на базе все той же злосчастной платформы Symbian, которая самопроизвольно, не спрашивая разрешения владельца, осуществляла звонки по особым тарифам. В ноябре появился троянец Skulls, способный практически вывести мобильный телефон из строя. По всей видимости, в 2005 году тревожные тенденции года уходящего достигнут своей кульминации.

Инфа про вирус с красноречивым именем...

Специалисты из антивирусной компании SimWorks обнаружили нового трояна для смартфонов под управлением Symbian. Вредоносная программа имеет красноречивое название Gavno.a и обладает вполне реальными вредоносными качествами. Если предыдущие вирусы в худшем случае блокировали отдельные функциональные клавиши, то Gavno.a отключает процессы в операционной системе, отвечающие за функциональность устройства в качестве телефона, то есть звонить с пораженного смартфона вы не сможете.

Методика распространения аналогична вирусу Cabir. Вы получаете или скачиваете из сети файл patch.sis, который маскируется под новую прошивку для операционной системы. После инициализации он рассылается по всем устройствам в зоне действия Bluetooth, после чего блокирует определенные функции смартфона.

Новый вирус-троянец полностью выводит из строя мобильные телефоны на базе ОС Symbian v.7. Об этом сообщила компания SimWorks, занимающая разработкой антивирусного программного обеспечения.

Вирус, получивший кодовое название Gavno.a, в отличие от своих предшественников вызывает более серьезные последствия, чем просто отключение каких-либо кнопок или функций. Телефон, зараженный этим вирусом, становится полностью непригодным к использованию. Вредоносный 2-килобайтный код вызывает нестабильную работу операционной системы, отключая абсолютно все приложения, и в некоторых случаях приводит к постоянной перезагрузке телефона. Такое поведение делает восстановление работоспособности аппарата крайне затруднительным....

Опасности заражения подвержены телефоны на платформе Series 60 (Nokia 6600, Nokia 7610), в то время как телефоны на платформе UIQ (среди них популярные SonyEricsson P900/910 и Motorola A925/1000), а также использующие версию Symbian v.6.x, вирусом не поражаются. Сам процесс активации вируса происходит после запуска файла patch.sis, который маскируется под набор исправлений ошибок для ОС телефона. А появившийся несколько позже версия Gavno.b может также рассылать свои копии через Bluetooth.

Кроме того, по сообщению SimWorks, имеется версия программы, получившая название Gavno.b. Файл с этим вирусом имеет название patch_v2.sis и содержит также трояны Cabir и Camtimer. Эта напасть поражает только телефоны под управлением Symbian 7.0 на базе интерфейса Series 60, то есть принять меры предосторожности следует прежде всего владельцам Nokia 6600 и 7610. Смартфонам на базе UIQ (Sony Ericsson P800, P900, P910, Motorola A925/1000), а также под управлением Symbian 6.x (Nokia 3660, Siemens SX1) пока не стоит его опасаться. Однако компания SimWorks на всякий случай обновила соответствующее антивирусное программное обеспечение и для этих платформ

Специалисты предупреждают: в ближайшее время может появиться много разновидностей вируса Cabir для мобильных телефонов. Дело в том, что исходный код вируса появился в Интернете на одном из форумов. Ответственность за создание вируса лежит на международной группе вирусописателей под названием 29A.
По словам старшего вирусного аналитика компании «Лаборатории Касперского» Алекса Гостева, исходники вируса Cabir сначала могли получить только ограниченный круг людей, включая членов 29A. Вероятно, группа планировала опубликовать их в следующем выпуске своего электронного журнала, но произошла утечка информации и теперь узнать исходные коды вредоносной программы может практически любой желающий. Это может привести к созданию многочисленный вариаций и разновидностей вируса Cabir, который был обнаружен уже в семи странах. По данным антивирусной компании F-Secure, только в этом месяце были обнаружены семь новых вариантов Cabir. Дебют вируса состоялся в июне.
Как отмечают специалисты, новые варианты становятся все агрессивнее и обладают улучшенными функциями самораспространения. Самый первый вариант вируса мог отправлять свои копии только одному из Bluetooth-телефонов, находящихся в зоне действия. Новые варианты вредоносной программы рассылают себя неограниченному числу мобильников с Bluetooth-связью.
Хотя сам по себе вирус не является деструктивным, но способен привести в ярость даже самого терпеливого пользователи: из-за работы вируса Bluetooth-связь оказывается практически заблокированной, а батарею инфицированного телефона приходится заряжать каждые несколько часов.

Commwarrior - вирус для мобильных телефонов, работающих на платформе Symbian 60 серии.

Вирус распространяется через MMS сообщения и Bluetooth.

MMS позволяет посылать текстовые сообщения, которые содержащат изображения, аудио или видео информацию. MMS сообщения можно посылать с телефона на другой телефон или email.

Обнаружены 2 разновидности вируса, создающие файлы:

  \system\apps\CommWarrior\commwarrior.exe

  \system\apps\CommWarrior\commrec.mdl

  \system\updates\commrec.mdl

  \system\updates\commwarrior.exe

  \system\updates\commw.sis

Содержит текст:

 CommWarrior v1.0 (c) 2005 by e10d0r

  OTMOP03KAM HET! 

Вирус пытается послать различные сообщения через MMS и Bluetooth, содержащие следующий текст:

  Norton AntiVirus

  Released now for mobile, install it!

  Dr.Web

  New Dr.Web antivirus for Symbian OS. Try it!

  MatrixRemover

  Matrix has you. Remove matrix!

  3DGame

  3DGame from me. It is FREE !

  MS-DOS

  MS-DOS emulator for SymbvianOS. Nokia series 60 only. Try it!

  PocketPCemu

  PocketPC *REAL* emulator for Symbvian OS! Nokia only.

  Nokia ringtoner

  Nokia RingtoneManager for all models.

  Security update #12

  Significant security update. See www.symbian.com

  Display driver

  Real True Color mobile display driver!

  Audio driver

  Live3D driver with polyphonic virtual speakers!

  Symbian security update

  See security news at www.symbian.com

  SymbianOS update

  OS service pack #1 from Symbian inc.

  Happy Birthday!

  Happy Birthday! It is present for you!

  Free SEX!

  Free *SEX* software for you!

  Virtual SEX

  Virtual SEX mobile engine from Russian hackers!

  Porno images

  Porno images collection with nice viewer!

  Internet Accelerator

  Internet accelerator, SSL security update #7.

  WWW Cracker

  Helps to *CRACK* WWW sites like hotmail.com

  Internet Cracker

  It is *EASY* to *CRACK* provider accounts!

  PowerSave Inspector

  Save you battery and *MONEY*!

  3DNow!

  3DNow!(tm) mobile emulator for *GAMES*.

  Desktop manager

  Official Symbian desctop manager.

  CheckDisk

  *FREE* CheckDisk for SymbianOS released!MobiComm

Тело вируса также содержит следующий текст:

  MobiComm, Mobile communications inspector. Try it!

  BAFL[10003a0f].DLL

  BLUETOOTH.DLL

  EFSRV[100039e4].DLL

  ESOCK[10003d3f].DLL

  EUSER[100039e5].DLL

  IROBEX[10003d57].DLL

  MSGS[10004e66].DLL

  PBKENG[101f4cce].DLL

  PLPVARIANT[10009b13].DLL

  SDPAGENT[10009222].DLL

  SDPDATABASE[10009220].DLL

Компания F-Secure сообщила еще об одном опасном вирусе для смартфонов на платформе Series 60. Речь идет о Locknut.B, который распространяется, маскируясь под патч для обновления системного компонента.

После запуска вирус уничтожает системный компонент, после чего ни одно приложение не может быть запущено. Далее программа на первый взгляд начинает противоречить сама себе. Сначала она инсталлирует на смартфон троян Cabir.V , после чего... удаляет все программы, в том числе и недавно инсталлированный вирус. Однако противоречие тут только кажущееся. Дело в том, что в случае, если Locknut.B все же блокируется и уничтожается антивирусными приложениями, Cabir.V остается на смарфтоне. Он инсталлируется в «неправильную» папку и большинство антивирусов его просто не могут обнаружить. Пока не известно, выпущено ли уже противоядие против Locknut.B, но в любом случае это должно произойти в ближайшее время. Не забывайте обновлять антивирусные базы для своего смартфона.

Недавно был обнаружен новый, третий по счету, вирус, нацеленный на мобильные телефоны. Mabir передается через MMS и создавался под Symbian смартфоны шестидесятой серии.

Mabir является доработкой предыдущего червя Cabir, который передавался только через Bluetooth с MMS вложением. Через Bluetooth новый вирус работает по старом: заразив телефон, он ищет ближайшие телефоны и передает им свои копии. С MMS же он работает иначе. Вместо того, чтобы рассылать сообщения с вложением по всем номерам из записной книжки, Mabir шлет свою копию только в ответ на пришедшие SMS и MMS сообщения.

Эпидемии нового вируса не ожидается, но его способность передаваться через MMS вызывает некоторые опасения.

Появился новый троянец для смартфонов на платформе Symbian Series 60. Несмотря на пока что малую распространенность, новый вирус чрезвычайно опасен, утверждают специалисты.

О появлении нового троянца, выводящего из строя смартфоны, предупреждает компания F-Secure. Несмотря на растущую обеспокоенность специалистов последствиями распространения потенциально очень опасных вирусов, поражающих мобильные устройства, пока что случаи заражения ими редки...

Как сообщает Silicon.com, финская компания впервые обнародовала подробности о новом вирусе, получившем обозначение Fontal.A, в среду, 6 апреля. Fontal.A поражает телефоны Nokia, выполненные на базе платформы Series 60 с операционной системой Symbian. Распространяется он, в отличие от появившегося ранее троянца CommWarrior, не через Bluetooth или MMS, а при обмене файлами либо через IRC.

Fontal.A пытается инсталлировать в инфицированное устройство файл с именем «Kill Saddam By OID500.sis». В случае его инсталляции смартфон выйдет из строя при первой же перезагрузке и будет оставаться неработоспособным вплоть до дезинфекции.

Помимо этого, троянец также повреждает менеджер приложений, препятствуя тем самым установке новых программ, а также деинсталляции самого троянца. Единственный метод лечения – переформатирование телефона с подразумевающейся при этом безвозвратной потерей всех данных. Пока что пользователям рекомендовано в целях профилактики Fontal.A и других троянцев загружать файлы только из абсолютно надежных источников.

Лечим телефон от Sculls !

Если на телефоне вместо родных иконок меню черепа со скрещенными костями - ненадо форматировать телефон !!!
Берем карту памяти (новую или просто другую ) с загруженным файл-менеджером .С помощью файл-менеджера заходим на диск С: / System / под папкой APPS находим папку Appname и удаляем ее . Потом ставим свою родную карту памяти и тоже делаем на диске Е: / . После этого перезагружаем аппарат и все в порядке !

Как удалить вирус CommWariorr !

Просто удалите все файлы вируса с помощью файл-менеджера:
\system\apps\CommWarrior\commwarrior.exe
\system\apps\CommWarrior\commrec.mdl
\system\updates\commrec.mdl
\system\updates\commwarrior.exe
\system\updates\commw.sis

На дисках С:/ и Е: / соответственно