Предлагам на Вашето внимание кратка информация, относно вирусите, разпространяващи се на основата на OS Symbian. Въпреки, че все още делът на телефоните, поддържащи тази ОС не е толкова голям, не би било зле да сме подготвени още преди да решим да изберем телефон от подобен вид. Още повече, че съвсем близо е времето, когато мобилните оператори ще започнат да предлагат услуги от 3-то поколение и най-вероятно броят на смартфоните ще нараства прогресивно.
Worm.SymbOS.Comwar.a – това е първият червей, създаден за мобилни телефони и разпространяващ се чрез MMS. Работи на телефони със Симбиан Серия 60. Изпълнителният файл на червея е опакован в инсталационния архив на Симбиан приложението (SIS – файл). Размер на архива – 27 – 30 КБ.
Наименованието може да варира, в частност предавайки се чрез Bluetooth, червеят генерира произволно име на файла с дължина 8 знака, например: bg82o_s1.sis.
Инсталация – след стартиране на приложението архива се разопакова в:
systemappsCommWarrior:
systemappsCommWarriorcommwarrior.exe
systemappsCommWarriorcommrec.mdl
Стартираният файл commwarrior.exe на свой ред копира тези файлове и оригиналния архив в директория
systemupdates:
systemupdatescommwarrior.exe
systemupdatescommrec.mdl
systemupdatescommw.sis
Разпространение – червеят се разпространява по два начина: чрез Bluetooth и по MMS. След стартирането червеят инициира търсене чрез Bluetooth на достъпни устройства и им прехвърля заразения SIS-архив с ново, произволно име. За отварянето (и зареждането на файла в телефона) е необходимо само няколко пъти да потвъдите приемане на файла.
Освен това червеят се разпространява и в контактите на адресната книга с помощта на MMS. Темата и текста на съобщението варират:
Norton AntiVirus
Released now for mobile, install it!
3DGame
3DGame from me. It is FREE !
3DNow!
3DNow!(tm) mobile emulator for *GAMES*.
Audio driver
Live3D driver with polyphonic virtual speakers!
CheckDisk
*FREE* CheckDisk for SymbianOS released!MobiComm
Desktop manager
Official Symbian desctop manager.
Display driver
Real True Color mobile display driver!
Dr.Web
New Dr.Web antivirus for Symbian OS. Try it!
Free SEX!
Free *SEX* software for you!
Happy Birthday!
Happy Birthday! It is present for you!
Internet Accelerator
Internet accelerator, SSL security update #7.
Internet Cracker
It is *EASY* to *CRACK* provider accounts!
MS-DOS
MS-DOS emulator for SymbvianOS. Nokia series 60 only. Try it!
MatrixRemover
Matrix has you. Remove matrix!
Nokia ringtoner
Nokia RingtoneManager for all models.
PocketPCemu
PocketPC *REAL* emulator for Symbvian OS! Nokia only.
Porno images
Porno images collection with nice viewer!
PowerSave Inspector
Save you battery and *MONEY*!
Security update #12
Significant security update. See www.symbian.com
Symbian security update
See security news at www.symbian.com
SymbianOS update
OS service pack #1 from Symbian inc.
Virtual SEX
Virtual SEX mobile engine from Russian hackers!
WWW Cracker
Helps to *CRACK* WWW sites like hotmail.com
Червеят съдържа в себе си следният текст:
CommWarrior v1.0b (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it's original unmodified form.
За съжаление няма “обеззаразяване”, единственият начин е цялостно приенсталиране на софтуера на апарата.
Trojan.SymbOS.Appdisabler.j
Троянска програма, поразяваща мобилните телефони, работещи под управление на операционна система Symbian. Троянецът заменя неработещите или повредени файлове на различни антивирусни програми.
Представлява приложение за Symbian – инсталационен SIS архив.
Файлът може да е с име - Symbian_Anti-Virus.SIS. Размер — 27362 байта
Инсталация – след стартирането троянеца инсталира на телефона следните файлове:
ApMIME.dll (8620 байта)
systemappsAbout SymbianAV.txt (673 байта)
Презаписва съдържанието на следните архиви/каталози, а ако не съществуват ги създава:
systemappsAnti-Virus
systemappsAntiCommWarrior
systemappsAntivirus
systemappsAppMngr
systemappsCabirFix
systemappsCalvinStinger
systemappsDecabir
systemappsDisinfect
systemappsefileman
systemappsEVS
systemappsF-Secure
systemappsFCommwarrior
systemappsFExplorer
systemappsKaspersky
systemappsKLAntivirus
systemappsMAV
systemappsmobilesecurity
systemappsNEWFILESCAN
systemappsProfiMail
systemappsSmartFileMan
systemappssymcs
systemappssymlu
systemappsSystemExplorer
systemappsTrendMicro
systemappsvirem
systemappsvirusguard
systemappsVirusScan
Във всеки каталог се създава файл с името на каталога и разширение „app”. Файловете имат размер от 3 до 12 байта и са неработоспособни. По този начен троянеца се опитва да извади извън строя антивирусните програми.
Файлът «About SymbianAV.txt» съдържа следният текст:
Symbian Anti-Virus
Version 1.10
Copyright й2006 Symbian Ltd.
* Phone Protection *
Damage Helzim
Worm.SymbOS.Lasco.a
Червей за PDA устройства и мобилни телефони, работещи под Simbian OS. Това е и първият вирус, заразяващ изпълняеми файлове (в частност SIS архиви) за горепосочените платформи.
Вирусът е написан от автора на последната версия на Symbian-червея “Worm.SymbOS.Cabir” и се базира на неговия код, т.е. процедурата по размножаването чрез Bluetooth не се различава от тази при Worm.SymbOS.Cabir.
Подобно на функциите на BlueTooth-червея, вирусът също има функция да заразява файловете. При стартиране той сканира диска в търсене на SIS архиви, който заразява чрез вмъкване на кода си в тях.
Вирусът е в два варианта:
- приложение за платформа Win32, заразяващо намерените SIS-файлове,
- приложение за платформа Symbian.
- velasco.sis, размер 15750 – основният файл на вируса
- sisinfect.exe, размер 69632 – инфектор, работещ под Windows. Сканира локалните дискове в търсене на SIS файлове, като заразява намерените, вкарвайки в тях съдържанието на velasco.sis.
- marcos.sis, размер 1579 – съдържа модул marco.mdl , инсталиращ velasco.sis в StartUp на Symbian OS
Вирусните файлове се разполагат в следните директории:
C:\SYSTEM\SYMBIANSECUREDATA\VELASCO\
Самостартиращият се файл се намира в:
C:\SYSTEM\RECOGS\MARCOS.MDL
Worm.SymbOS.Cabir.a
Първият мобилен червей, разпространяващ се чрез Bluetooth и заразяващ всички мобилни телефони със Symbian OS.
Кратък списък на тези модели (оригиналът се намира на официалния сайт Symbian)
FOMA F2051 FOMA F2102V FOMA F900i
Motorola A920 Motorola A925 Motorola A1000
Nokia 3650/3600/3660/3620/3320/6600/6630/7610/7650
Nokia 9210 Communicators/9290 Communicator/N-Gage
Sendo X
Siemens SX1
Sony Ericsson P800/P900
Ericsson R380 World Smartphone/R380e Smartphone
Psion 618C and 618S/Psion Revo and Revo Plus/Psion Series 5mx/Psion Series 7 and netBook
В настоящия момент са известни две версии на чарвея, различаващи се единствено по наличието на реда
"VZ/29a" при изписването на екрана на текста Window Alert.
Червеят представлява файл в SIS формат - caribe.sis с размер - 15092 байта (или 15104 байта), съдържащ в себе си няколко обекта:
- caribe.app: размер 11932 байта (или 11944 байта)
- flo.mdl: размер 2544 байта
- caribe.rsc: размер 44 байта
Инсталация – при стартиране червеят извежда на екрана съобщение "Caribe" (или "Caribe - VZ/29a"), след което се инсталира в различни приложения:
с:systemappscaribecaribe.app
с:systemappscaribeflo.mdl
с:systemappscaribecaribe.rsc
C:SYSTEMSYMBIANSECUREDATACARIBESECURITYMANAGERCARIBE.SIS
C:SYSTEMSYMBIANSECUREDATACARIBESECURITYMANAGERCARIBE.APP
C:SYSTEMSYMBIANSECUREDATACARIBESECURITYMANAGERCARIBE.RSC
C:SYSTEMRECOGSFLO.MDL
Каталогът "SYMBIANSECUREDATA", създаван от червея е скрит и не може да бъде видян в заразения телефон. Поради тази причина дори при изтриване на файловете на червея от папка “APPS”, червеят продължава своята работа в системата.
Размножаване – при всяко включване на заразения телефон червеят поема управлението и започва сканиране на списъка с активни Bluetooth-връзки, след което започва подред да предава основния си файл
"caribe.sis".
В случай, че потвърдим приемането на файла, автоматично се стартира червеят.
Червеят не съдържа разрушителни функции. Основното е, че се размножава и заразеният телефон започва да работи нестабилно, поради непрестанното сканиране за активни Bluetooth-устройства.
Изтриване на червея – “Лаборатория Касперски” е разработила специално приложение за отстраняването на Cabir от заразеното мобилно устройство.
За да “излекувате” телефонът е необходимо да заредите инсталационния файл “decabir.sis” на мобилния апарат. След това в главното меню да стартирате от иконката Decabir. Ако апаратът ви е чист ще видите съобщение "Device is clean". В противен случай съобщението ще бъде "Cabir has been removed. Please reboot", след което е необходимо да рестартирате телефонът.
Програмата се намира на WAP-сайта - wap.kaspersky.com и е достъпна за сваляне непосредственно чрез WAP-сайта или от www.kaspersky.com/downloads/wap/downloads/decabir.sis | 
