A Kaspersky Lab's június 14-én, a késői órákban észlelte az első maroktelefon-hálózaton terjedő kórokozót, vírust, a Cabirt.
Megj: a maroktelefonok szinte hihetetlen gyorsaságú terjedése és technikai fejlődése, először a beszélgetés átjátszására, majd később az egyre bonyolultabb adatátvitelre alkalmas programok fejlődése egyre nagyobb kihívásnak bizonyult a vírusírók számára. Ugyanígy az adatforgalom tartalmi része már felkeltette az egyes állami szolgálatok figyelmét is. A vírusírók eddig nem sok "sikerrel dicsekedhettek". A szolgáltatók a maroktelefon-beszélgetések helyét, időpontját könnyen meghatározzák, de az igen fontos adattartalom megismeréséhez technikai eszközökre - közvetlenül a telefonba szerelhető, ill. a beszélgetéseket lehallgató, később az adatforgalmat ellenőrző, ill. megismerő eszközökre - van szükség. Úgy néz ki, egy idő után az eszközöket el lehet felejteni - mert mindezt megoldhatja már egy számítógépes vírus is. Ma még a "Cabir", de sajnos a jövőre nézve bizton mondhatom, hogy ez esetben a legtalálóbb a mondás "minden kezdet nehéz"... a többi már könnyű lesz...
A Kaspersky Lab's vizsgálatai szerint az újonnan észlelt kórokozót nagy biztonsággal egy, az interneten "Vallez" hálózati álnevet (nickname) használó személy írta. Ezt az álnevet használja a hírhedté vált nemzetközi "29a" vírusíró csoport. Ez a csoport arra specializálódott, hogy olyan vírusokat írjon, amik megírása lehetetlennek látszott - igen szépen úgy is mondhatnánk, hogy "proof-of-concept viruses", azaz "kísérleti vírusokat". A csoport nevéhez fűződik a "Cap", az első globális járványt okozó makróvírus, majd a Stream, az első NTFS fájlrendszert használó alkalmazásokat érintő vírus, a Donut, az első .NET vírus és a Rugrat, az első Win64 vírus megírása - most pedig az első mobiltelefon-hálózatokon terjedőé, a "Cabir"-é.
A Kaspersky Lab's észlelte először és elemezte a Cabirt, az első olyan hálózat férget, mely mobilhálózatok keresztül terjed. Megfertőzi a telefonon futó Symbian OS-t. Az eddigi vizsgálatok alapján úgy tűnik, hogy a Cabir fertőzés utáni futása a rendszerben nem okoz kárt, nem idéz elő semmiféle "biztonsági incidenst" (security incidents).
A malware (számítógépes kórokozó) előzetes analízise azt mutatja, hogy Cabirt a hálózaton mint egy SIS fájlt (Symbian OS distribution file) sugározzák, de hogy kellően rejtve maradjon, a sugárzott fájl (Carib) Security Manager utility (szolgáltatás jellegű). Ha a fertőzött fájlt "elküldik", kisugározzák, a cél maroktelefon kijelzőjén megjelenik egy "Caribe" felirat. A féreg bejut a rendszerbe, és aktiválódik minden esetben, amikor a telefont használják. A Cabir vizsgálja az összes olyan telefont, mellyel a fertőzött eszköz kapcsolatba került (beszélgetés, SMS, MMS stb.), és arra a telefonra, amelyik a Bluetooth technológiát használja, elküldi ("átsugároztatja") egy másolatát.
A közlemény szerint a féreg kód analízise során eddig még nem észleltek "rosszindulatú programot (spy, down-at uploader stb.) a Cabirbben.
A féreg kód olyan telefonokon fut, melyek Symbian OS-t alkalmaznak - ezt alkalmazzák több "okos" Nokiánál.
Emiatt és azért, mert "a Cabir fertőzés utáni futása a rendszerben nem okoz kárt, nem idéz elő semmiféle 'biztonsági incidenst' (security incidents)", több optimista szakértő különösebb veszélyt nem lát benne, de a Kaspersky Lab's szerint igen nagy a valószínűsége, hogy a Cabir más gyártók maroktelefonját is meg tudja fertőzni, tehát más (OS-ek) rendszerek alatt is fog futni.
Én szkeptikus vagyok, és nem értem többek optimizmusát. A Cabir megjelenése csak egy kezdet. Kezdete annak, hogy telefonos hálózaton lehet már vírust sugározni. A többi már részletkérdés. Részletkérdés az, hogy milyen rendszer alatt fut, az, hogy mire képes.
Mindez a programozón és/vagy megrendelőjén múlik. Az az igen rossz sejtésem, hogy mindezt heteken, maximum hónapokon belül megtudjuk.
Egy olyan akadály hárult el a rosszindulatú információéhes emberek és testületek elől, melyre egy éve gondolni sem mertünk. Miért írom ezt ilyen magabiztosan: azért, mert senkinek nem célja egy maroktelefon tönkretétele. Annak semmilyen jelentősége, értéke nincs, annál értékesebb az az információ, ami a telefonálótól nyerhető lesz, ha egy ilyen jellegű telefonhálózaton sugározható kórokozót egy spy programmal ellátnak, úgy néz ki, mindennek nem lesz akadálya.
A Cabir megismeréséért köszönet Denis Zenkinnek (Head of Corporate Communications Kaspersky Labs)
Geza Papp dr.
Networksecurity and Virusanalyst