Mobilvírus, ami megöli telefonunk Symbian szolgáltatásait
Geza Papp, 2005. január 26. 14:40
Az aucklandi SimWorks International cégről bátran kimondhatjuk, hogy
Symbian és Symbian anti-vírus specialista. Ezért nem csoda tehát, hogy
komoly elismerést vívtak ki a Symbian rendszereket fenyegető malwarek
kutatásában, észlelésében. A napokban több cikk jelent meg egy új
malwareről, mely képes tönkretenni a mobiltelefonok Symbian
szolgáltatásait.
Két új ártalmas kódról, két Symbian trójairól adott telefoninterjút hétfőn (jan. 24-én) Aaron Davidson, a SimWorks International elnöke. Azóta igen sok cikk jelent meg az általa elmondottak alapján a két trojánról, a Gavno.a és Gavno.b -ről, melyeket írójuk „javító foltnak” patchnak álcázott – így a felhasználók semmi rosszra nem gondolva töltik le, és telepítik telefonjukra.
Davidson elmondása szerint a Gavno.a, Gavno.b csaknem mindenben megegyezik, csak minimális különbség van kódjukban. Mindkét károkozó, tartalmaz egy Cabir féreg variánst, mely a trójaik másolatait a Bluetooth technológia kihasználásával küldi a közelben lévő, bekapcsolt Symbian rendszert használó telefonokra.
A Gavno trójaiak, Davidson szerint, először a mobiltelefonok legfontosabb funkcióit veszik célba, és teszik használhatatlanná azokat – a távbeszélés lehetőségét, az SMS küldést, az e-mail küldést, a cím adatbázist. "A Gavno igen rövid idő alatt képes a telefont egy egyszerű levélnehezékké átalakítani” - mondta keserű humorral Davidson.
A Gavno.a és Gavno.b még csak „proof of concept” (kísérleti) trójai lovaknak minősülnek, melyek még nem terjedtek – remélhetően nem is terjednek el a hálózat „vadonjában” (in the wild). Davidson elmondta, hogy a malwareket egy magát meg nem nevező valaki küldte a cégüknek, javasolva, hogy vizsgálják meg azokat. „Megvizsgáltuk, és meg kellett állapítanunk, hogy tényleg működőképesek”. A Gavno trójaiak nem hamisítanak meg programokat, hanem igen jelentős kárt okozva „egyszerűen” tönkreteszik azokat – folytatta.
A Gavno a. mérete mindössze 2KB, és patch.sis néven „álcázott” SIS (Symbian Installation System) fájlként terjedne, míg a Gava.b, ami kissé nagyobb méretű, szintén álcázott SIS állományként - patch_v2.sis néven .
Davidson véleménye szerint Oroszországból származnak a trójai programok.
A SimWorks szerint a programok ártanak a Symbian OS 7 verzióval, és Series 60 grafikai interfésszel (illesztő) rendelkező telefonoknak, mint pl. a Nokia 6600 és 7610 modellek. Ellenben nem észlelték károsító hatásukat a Symbian OS 6.x rendszert UIQ Technológia AB grafikai interfészt alkalmazó Sony P900 és P910 modellek, az Ericsson Mobil Communications AB és az A925 és Motorola 1000 modelleken, illetve a Nokia 3650 és Siemens SX1 modelleken sem, amiken szintén Symbian OS 6.x verzió és Series 60 grafikai interfész együtt fut.
A SimWorks vizsgálatai szerint tehát az új trójaiak csak Symbian OS ver. 7.x -et, és Series 60 grafikai illesztőt alkalmazó telefonra lennének ártalmasak, másra nem.
Sajnos akkor is nagy gondot okoznak a károkozók, ha nem is válnak használhatatlanná a telefonok, akkor is nagy kár éri tulajdonosukat, mert teljes adatvesztés mellett vissza kell állítani a fertőzött készülékeken a gyári beállításokat - Davidson szerint.
Az F-Secure szakértői véletlenül még nem találkoztak a Gavno trojánokkal, de jelzéseket sem kaptak a felhasználóktól – mondta Mikko Hypponen – de ennek ellenére természetesen elfogadjuk a SimWorks kutatási eredményeit, hiszen sajnos egyre több mobilvírus, féreg, és trójai bukkan fel világszerte.
Decemberben, a SimWorks észlelte MetalGear.a nevű mobil-trójait. A program egy Symbian játéknak a Metal Gear Solid változatának „álcázta magát” mely szintén Cabir féreggel együtt fertőzött, és megbénította a készülék vírusvédelmét. Davidson megemlítette még a szintén 2004 decemberében észlelt SEXXXY trójait, ami szintén funkciókat tett tönkre a Gavnohoz hasonlóan, de csak egy billentyű használatát bénította meg. Hozzátette azt is, hogy a hasonlóság még nem bizonyítja egyértelműen, hogy az írójuk azonos.
Davidson elmondása szerint a Gavno.a, Gavno.b csaknem mindenben megegyezik, csak minimális különbség van kódjukban. Mindkét károkozó, tartalmaz egy Cabir féreg variánst, mely a trójaik másolatait a Bluetooth technológia kihasználásával küldi a közelben lévő, bekapcsolt Symbian rendszert használó telefonokra.
A Gavno trójaiak, Davidson szerint, először a mobiltelefonok legfontosabb funkcióit veszik célba, és teszik használhatatlanná azokat – a távbeszélés lehetőségét, az SMS küldést, az e-mail küldést, a cím adatbázist. "A Gavno igen rövid idő alatt képes a telefont egy egyszerű levélnehezékké átalakítani” - mondta keserű humorral Davidson.
A Gavno.a és Gavno.b még csak „proof of concept” (kísérleti) trójai lovaknak minősülnek, melyek még nem terjedtek – remélhetően nem is terjednek el a hálózat „vadonjában” (in the wild). Davidson elmondta, hogy a malwareket egy magát meg nem nevező valaki küldte a cégüknek, javasolva, hogy vizsgálják meg azokat. „Megvizsgáltuk, és meg kellett állapítanunk, hogy tényleg működőképesek”. A Gavno trójaiak nem hamisítanak meg programokat, hanem igen jelentős kárt okozva „egyszerűen” tönkreteszik azokat – folytatta.
A Gavno a. mérete mindössze 2KB, és patch.sis néven „álcázott” SIS (Symbian Installation System) fájlként terjedne, míg a Gava.b, ami kissé nagyobb méretű, szintén álcázott SIS állományként - patch_v2.sis néven .
Davidson véleménye szerint Oroszországból származnak a trójai programok.
A SimWorks szerint a programok ártanak a Symbian OS 7 verzióval, és Series 60 grafikai interfésszel (illesztő) rendelkező telefonoknak, mint pl. a Nokia 6600 és 7610 modellek. Ellenben nem észlelték károsító hatásukat a Symbian OS 6.x rendszert UIQ Technológia AB grafikai interfészt alkalmazó Sony P900 és P910 modellek, az Ericsson Mobil Communications AB és az A925 és Motorola 1000 modelleken, illetve a Nokia 3650 és Siemens SX1 modelleken sem, amiken szintén Symbian OS 6.x verzió és Series 60 grafikai interfész együtt fut.
A SimWorks vizsgálatai szerint tehát az új trójaiak csak Symbian OS ver. 7.x -et, és Series 60 grafikai illesztőt alkalmazó telefonra lennének ártalmasak, másra nem.
Sajnos akkor is nagy gondot okoznak a károkozók, ha nem is válnak használhatatlanná a telefonok, akkor is nagy kár éri tulajdonosukat, mert teljes adatvesztés mellett vissza kell állítani a fertőzött készülékeken a gyári beállításokat - Davidson szerint.
Az F-Secure szakértői véletlenül még nem találkoztak a Gavno trojánokkal, de jelzéseket sem kaptak a felhasználóktól – mondta Mikko Hypponen – de ennek ellenére természetesen elfogadjuk a SimWorks kutatási eredményeit, hiszen sajnos egyre több mobilvírus, féreg, és trójai bukkan fel világszerte.
Decemberben, a SimWorks észlelte MetalGear.a nevű mobil-trójait. A program egy Symbian játéknak a Metal Gear Solid változatának „álcázta magát” mely szintén Cabir féreggel együtt fertőzött, és megbénította a készülék vírusvédelmét. Davidson megemlítette még a szintén 2004 decemberében észlelt SEXXXY trójait, ami szintén funkciókat tett tönkre a Gavnohoz hasonlóan, de csak egy billentyű használatát bénította meg. Hozzátette azt is, hogy a hasonlóság még nem bizonyítja egyértelműen, hogy az írójuk azonos.
Kapcsolódó cikkek
- "Mobilvírus" keltett pánikot Pakisztánban
- SMS-ben, MMS-ben érkezik a tolvaj mobiltelefon vírus
- Samsung HSDPA mobil Symbian szoftverrel
- 15 dollárt lop el az új mobilvírus
- Féregvírus a MySpace oldalain
- F-Secure vírusvédelem Windows Mobile 5.0 operációs rendszerre
- Újabb Symbian-trójaiak jelentek meg 2006-ban
- Az MMS-ek 5%-a vírussal fertőzött
- Az F-Secure azonosította a századik mobilvírust
- Opera 8.5 böngésző mobiltelefonokra