Ha felhív a vírus...

Geza Papp, 2004. június 16. 18:00
A Kaspersky Lab's értesítése alapján már írtam a "Cabir" nevű első olyan féregről, mely "egyszerűen" adott alkalmazást futtató mobiltelefon-hívásokkal terjed. Még leírni is "fantasztikus regénybe" illik inkább, de el kell fogadnunk, hogy ez a valóság.
A hír a szakembereket sem hagyta hidegen: számtalan nyilatkozat, vélemény született. Vannak közöttük olyanok, melyek jelentéktelennek tartják mindezt, vannak olyanok, melyek ártalmatlannak, a reakciók egy része semleges, esetleg optimista, de találkoztam pesszimista reakcióval is: tegnap még ez szerepelt a Symantec honlapján (ma már változott a lap tartalma): "Eltávolítás nincs, ötletek vannak a bluetooth-os kapcsolatok védelmére." Voltak cégek, amelyek teljesen reálisan látták a "Cabir-jelenség" veszélyeit: F-Secure; Sophos Plc.; Eset-NOD32 és az észlelő Kaspersky Lab's.

A reakciók, észrevételek tartalma jelen esetben jelentéktelen, a számuk a fontos. Ez egyértelműen azt mutatja, hogy a "vírustörténelem" - azzal, hogy megírták az első rádióhullámokon terjedő és mobiltelefonokat fertőző, szaporodni képes férget - új fejezetébe lépett. Ez a fejezet annyiban múlja felül a "bot" vírusok jelentőségét, hogy ezentúl nem csak a hálózaton lévő számítógépekről képesek bármilyen információt megszerezni, hanem a mobiltelefonokról is - legyen az beszéd- vagy adatátvitel (a legegyszerűbb: bankkártyaszám... stb.).

Én eddig is a vírust először észlelő és analizáló cég információira támaszkodtam - engedtessék meg, hogy most is ezt tegyem. Nyilvánossá tették a malware-analízisük részletes eredményét.

Worm.Symbian.Cabir.A

Cabir az első olyan hálózati féreg, mely képes arra, hogy a mobiltelefonok Bluetooth rövid távú vezetékmentes alkalmazását, funkcióját használja fel a telefonhálózaton való terjedésére, és megfertőzze azokat a telefonokat, melyeken Symbian OS (operációs rendszer) fut.

A telefonok igen széles körű választékában számos gyártó alkalmazza ezt a technológiát. Igen hosszú időt igényelne elkészíteni egy olyan listát a telefongyártmányokról és modellekről, melyek emiatt válnak a Cabir vagy egy (sajnos várható) hasonló vírus potenciálisan támadható célpontjaivá. Most az egyértelmű, hogy a Nokia 3650, 7650 és N-Gage telefonokat képes megfertőzni a Cabir.

Jelenleg két változata van a féregnek. Gyakorlatilag azonosak, csak abban különböznek (méretükön kívül), hogy a fertőzéskor a maroktelefon képernyőjén az egyi változat az ismert "carib" felirat után a következő szöveget is kiírja: "VZ/29a".

A féreg maga egy SIS formátumú fájl, neve: caribe.sis, a mérete az egyik változatban 15092 byt (a másik változat 15104 byt)

A féreg fájl három eltérő méretű részből áll:

caribe.app: 11932 byte/11944 byt
flo.mdl: 2544 byt
caribe.rsc: 44 byt

A fertőzés észlelése:
Amikor a telefonra feljutott vírus aktiválódik, futása elindul, a telefon képernyőjén - attól függően, hogy melyik változat fertőzte meg - az alábbi szöveg jelenik meg: 'Caribe' vagy 'Caribe VZ/29a'.



Ezzel párhuzamosan a féreg az alábbi könyvtárakba telepíti magát:




A SYMBIANSECUREDATA elnevezésű könyvtár, melyet már a féreg hoz létre, rejtve marad, így a felhasználó sem tud arról, hogy a telefonja fertőzött. Ez egy bizonyos védelemnek is felfogható, mert amennyiben a féregfájlt törlik az APPS könyvtárból, a rejtett, férget tartalmazó mappa miatt nem szűnik meg a rendszeren a féreg aktivitása.

Terjedés:
Minden alkalommal amikor a fertőzött telefont bekapcsolják, használják, a féreg átvizsgálja az aktív Bluetooth vezetékmentes alkalmazás aktív kapcsolatainak listáját. A féreg kiválaszt egy aktív kapcsolatot, és megpróbálkozik átküldeni magát arra a készülékre, mint caribe.sis fájl. Ha a cél maroktelefon megkapta az állományt, az alábbi válik láthatóvá a kijelzőn:







Ha az üzenetet kapó felhasználója visszaigazolja az üzenetet, válaszol az alábbi kérdésre, a fertőzés akadálytalanul megtörtént, és a féregkód "elkezdheti tevékenységét" (a megjelenő üzenetek függhetnek a telefon típusától)







A féreg, eltekintve a terjedéstől - így a reprodukciótól - más káros tulajdonsággal nem rendelkezik (még). Azonban ne felejtsük el, hogy a fertőzés során, mint minden rezidens féreg bejut a memóriába, ahonnan aktívan nyomon követi a Bluetooth alkalmazást, annak kapcsolatait - és e miatt bármikor okozhat a fertőzött telefon működésében bizonytalan, eddig nem ismert változást.

A részletes "Cabir" ismertetésen túl a Kaspersky Lab's az alábbi sajtótájékoztatót tette közzé, ami a kiemelkedően higgadt, lényeglátó reagálások között is elsőként említendő:

A tegnap már több helyen észlelt Worm.Symbian.Cabir.A vírus egyértelműen igazolta az új generációs mobiltelefonok biztonságának "törékenységét", sérthetőségét. A vírust nagy biztonsággal állíthatóan a "29a" nemzetközi vírusíró csoport írta, mely, mint már említettük előző közleményünkben, ilyen "kísérleti vírusok" írására specializálódott. Ezzel kialakult az a helyzet, hogy minden telefont veszélyeztetettnek kell minősíteni, amelyiken a Symbian OS fut. Ezt alkalmazza ma már számos gyártó, nevezetesen a Nokia is. Van tehát egy vírus, amelyik szaporodásra, reprodukcióra képes, és a fertőzéshez elég annyi, hogy bizonyos telefonokról felhívjunk valakit, akinek a telefonján hasonló rendszer fut.

Nagy mennyiségű vírust nem észleltek a "wild"-ben (az egész hálózaton), de igen sok felhasználó küldött névtelenül az antivírus-társaságoknak. Ez azzal magyarázható, hogy - mint említettük, a terjedésen és szaporodáson kívül - egyéb észrevehető káros tulajdonsága nincs - nem tudunk róla -, a felhasználó nem veszi észre, hogy fertőzött a telefonja, noha minden híváskor tudtán kívül küldi a fertőzött kódokat a Symbian OS-t futtató és Bluetooth vezetékmentes alkalmazást használó telefonokra - megfertőzve azokat, és egyben szaporítva a vírust.

A maroktelefon-vírusok a technológia megjelenése óra "izgatják" a vírusírók fantáziáját". Eddig csak olyan férgeket sikerült írni, amik a számítógépes hálózatokon terjedtek, és levéltömegekkel (SMS) árasztották el a telefonokat. Példaként említenénk a Timofonica. A férget, mely számítógépes rendszereken terjedt, és hatalmas mennyiségű levéllel, spammal árasztotta el a spanyol Timofonica hálózat felhasználóit, ügyfeleit. Egy megtévesztő üzenet (hoax), ami a vírus egy álfigyelmeztetése, ma is felbukkan még a rendszeren.

A japán DoCoMo társaságot is érintette egy biztonsági hiba (security flaw) kihasználása (2000/1), amikor felhasználók spam SMS üzenetek tömegét kapták, olyan mennyiségben, hogy a készülékeik használhatatlanná váltak, lefagytak - ennek ellenére önállóan hívni kezdték számtalan japán rendőrség központját.

Bár Kaspersky Lab's munkatársai nem hisznek abban, jelenleg valószínűtlennek tartják, hogy a Cabir jelentős endémiát (nagy kiterjedésű fertőzést), okozna, vagy nagyon gyorsan terjedne, ennek ellenére kiemelten fontosnak tartják a világ mobiltelefon-használóinak figyelmeztetését a potenciális veszélyre. Arra, hogy a Bluetooth technológia számos bizonyított sebezhetőséget rejt magában.

A Cabir bizonyíték arra, hogy már lehetőség van olyan mobiltelefon-vírus írására, ami szaporodik, telefonhálózaton terjed - igaz, hogy az első megírt víruskód ártalmas programot nem tartalmazott, ennek ellenére a közeljövő nem sok jót ígér.