A Kaspersky Lab's ma észlelt egy hátsóajtó-trójait, a
Backdoor.WinCE.Brador.a-t - az első ilyen károkozó (malware), ami PDA
eszközökön fut, mint pl. a Windows CE rendszert használó PocketPC-k.
A Bradoregy klasszikus backdoor trojan program: megnyitja a fertőzött gépet, alkalmassá téve azt a távoli irányításra, lehetőséget adva a távoli felhasználónak a gép teljes irányítására. A Brador PocketPC-k folyamatait megfertőző része 5632 byt hosszú.
A backdoor troján, miután a fertőzést követően futni kezd, létrehoz egy fertőzött svchost.exe állományt a Windows autorun mappába, így amíg a handheldet használják, ill. bekapcsolt állapotban van annak rendszere mindig teljes ellenőrzés, kontroll alatt van. A Brador ezután megállapítja az áldozat - fertőzött gép IP (Internet Protocol) címét és küldi azt tovább a szerzőnek - informálva őt a fertőzött handheldről, és természetesen arról, hogy a backdoor trojan aktívan működik. Végül a Brador kinyitja a 44299 portot, és várja a további utasításokat.
A Brador képes az általa nyitott potron keresztül a fertőzött PDA fölötti teljes fennhatóságot a távolról irányító vírus szerzőnek átadni. A Brador programja a backdoor trojanok teljes fegyvertárát tartalmazza: képes fájlok feltöltésére, letöltésére, azok futtatására, és minden további utasítás, parancs végrehajtására. A Brador, mint a többi backdoor program nem képes önállóan, segítség nélkül fertőzni, csak úgy, hogy a fertőző ágenst egy küldeményhez, általában e-mailekhez csatolják. A csatolt állománnyal együtt a levelet a handheld felhasználója vagy letölti az Internetről, vagy egy asztali személyi számítógépről töltik fel a készülékre.
"Biztosak voltunk abban, hogy az első "próba" mobiltelefon-vírus, és a Mobil Windows vírus után az életképes rosszindulatú PDA programok hamarosan megjelennek" - mondta Eugene Kaspersky, Head Anti-Vírus Research at Kaspersky Labs. "A WinCE.Brador.a már egy teljes egészében rosszindulatú program, készen áll arra, hogy bármikor fertőzzön: eltérően a "proof of concept - től" - az eddigi "próbavírusoktól" a Brador már tartalmazza az ártalmas backdoor trojanok ártalmas funkcióinak teljes tárházát."
Az Kaspersky Lab's Vírus laboratóriuma által kapott információ szerint, a Brador kódja feltehetően egy orosz vírusíró "terméke". A trójait egy olyan e-mailhez csatolták, melynek feladója, és szövege is orosz. A szerző mintegy "felkínálja eladásra" a trójait az érdeklődőknek, bemutatva annak képességeit is, bemutatva azt, hogy jelenleg milyen utasításokat, vírus programokat tartalmaz, vagyis mire képes. Ha valaki a backdoor trojanhoz ilyen "kereskedelmi formában hozzájut" tökéletesen használjatja pl. egy "bot network creation" - egy "bot" hálózat kialakítására.
"PDA felhasználók egy valóságos veszéllyel néznek szembe, és biztos vagyok abban, hogy a "computer underground" az informatikai alvilág szándéka megragadni a közeljövőben egy PDA és mobiltelefon rendszereken keresztül történő támadás lehetőségét" összegezte Eugene Kaspersky, "a mobil malware-k "fejlődése" ugyanazokat a szakaszokat, lépéseket követik, mint a PC desktop (asztali személyi) számítógép malware-k (kórokozók) már megtettek: ezért érzem úgy, hogy sajnos nemsokára látunk egy komoly handheld vírus kitörést, támadást."
Eugene Kaspersky nyilatkozata az első ártalmas mobil károkozó észlelése után igen pesszimistának tűnik, de sajnos az eddigi mobil "proof of concept" kódok megjelenésekor mondott "jóslatai" igen hamar valósággá váltak. Reméljük, most egy keveset téved .... - én sajnos nem hiszem.
A károkozóról többet olvashat a Kaspersky Lab's Vírus Enciklopédiájában.
Papp Geza dr
Networksecurityand Virusanalyst