16+
ComputerPrice
НА ГЛАВНУЮ СТАТЬИ НОВОСТИ О НАС




Яндекс цитирования


Версия для печати

Модуль поиска не установлен.

Мобильные напасти

15.04.2005

PalMan

Такие явления, как вирусы и спам, наверняка известны каждому пользователю персонального компьютера, активно работающему с Интернетом и электронной почтой. Даже при полном соблюдении правил "компьютерной гигиены", нет-нет, да и появляется иногда то, чего вы не просили.

Есть ли панацея? Думаем, что вряд ли, ведь корни этих явлений лежат глубоко в недрах человеческой природы и являются современным воплощением извечной борьбы между добром и злом. И на долгожданную победу светлых сил (как это бывает в сказках и фильмах) надеяться не стоит, это иллюзия.

Если обратиться к всезнающей статистике, то она утверждает, что за прошлый 2004 год ущерб от компьютерных вирусов исчисляется приблизительно тремя триллионами долларов, а спам составил около 80% всей электронной корреспонденции (данные ФБР США). Впечатляющие цифры, не правда ли? И что интересно, оптимистичных прогнозов на будущее немного, большинство специалистов считают, что эта проблема с каждым годом будет обостряться еще больше. Так недалеко и до "электронного" апокалипсиса. Не так давно профессор Технологического университета Хельсинки Хану Карри сделал ошеломляющее заявление: по вышеизложенным причинам Всемирная паутина перестанет существовать в 2006 году.

Впрочем, сегодня мы решили исследовать самые последние проявления этих напастей применительно к мобильным терминалам. Количество всевозможных портативных устройств растет в геометрической прогрессии, и они становятся лакомым куском для вирусописателей и спамеров. Эта проблема скромно заявила о себе летом прошлого года, но уже сегодня с ней приходится считаться. Несмотря на кажущуюся безобидность мобильных вирусов, они совершенствуются и наступают, чему способствует множество причин. Мы отметим только две основных: это использование в мобильных устройствах универсальных операционных систем (Symbian OS, Windows Mobile и др.) и широкое развитие беспроводных коммуникаций (Bluetooth, Wi-Fi).

Разумеется, этот процесс еще не зашел столь далеко, но, учитывая опыт "старшего брата" и последние сводки с "мобильных полей", недооценивать опасность нельзя. Ведь для многих портативное устройство является хранилищем ценной информации, а в некоторых ситуациях и единственным средством связи с внешним миром. И если ваш любимый смартфон при определенных обстоятельствах превращается в бесполезную игрушку, здесь уже не до шуток. И сегодня это реальность, а не фантастика. Но не будем сгущать краски, а перейдем непосредственно к тому, что нам мешает спокойно жить.

В поисках оптимальной среды

Не секрет, что различные "вредные штучки" для мобильных терминалов периодически появлялись и раньше, но практически никто не обращал на них серьезного внимания. Единичные факты - не повод для беспокойства. Самое распространенное мобильное устройство в мире - это сотовый телефон, но наличие фирменного ПО (firmware) сводит на нет все попытки занести в него какую-либо "инфекцию". Разве что можно вспомнить небольшую шумиху с вирусом для телефонов Siemens 35-ой и 45-ой серий двухлетней давности. Хотя какой же это вирус, SMS-сообщение, где в тексте было набрано так называемое системное слово, просто "подвешивало" телефон. Правда, для удаления этого зловредного SMS все-таки приходилось переставлять SIM-карту в другой аппарат, чтобы удалить его. Неприятная мелочь, которая, возможно, озарила отдельных вирусописателей.

Телефоны повзрослели, превратились в смартфоны и коммуникаторы, вот здесь все и началось. Тем более что почва в лице универсальной ОС и встроенных беспроводных модулей стала более благодатной. Первый удар пришелся на устройства под управлением операционной системы Symbian OS. В начале июня прошлого года появился первый мобильный вирус (сетевой червь по вирусной терминологии) Cabir, способный заражать портативные устройства, работающие под управлением этой ОС. Ну, скажем честно, особой угрозы он не представлял, это скорей концептуальный вирус, подтверждающий возможность создания чего-либо подобного.

Вирус попадает на устройство в виде файла Caribe.sis и замаскирован под утилиту для защиты устройства Caribe Security Manager. Для того чтобы его инсталлировать, необходимо запустить этот файл (история повторяется - таков был механизм заражения первых компьютерных вирусов). Все, теперь он внедрен в систему и активизируется при каждом включении терминала. Деятельность червя заключается в сканировании активных Bluetooth-соединений и пересылке через них самого себя. Как видите, никаких деструктивных действий помимо саморазмножения нет, разве что проявляется некоторая нестабильность работы устройства из-за постоянного сканирования Bluetooth-диапазона.

Эта первая попытка не получила массового распространения, да и вирус был работоспособен только на небольшом количестве аппаратов (Nokia 3650, 7650, N-Gage, 92х0). Но сам факт его появления заставил многих пересмотреть свое отношение к проблеме мобильных вирусов. Так, уже 15 июня на WAP-сайте Лаборатории Касперского была выложена соответствующая антивирусная программа. Кстати, об авторе вируса, им оказался некто под псевдонимом Vallez из известной по компьютерным вирусам группы 29A.

Проделки этой "команды" еще не раз будоражили умы антивирусных компаний. Появлявшиеся как грибы после дождя, очередные версии этого вируса (Cabir.B, Cabir.C, Cabir.D) не отличались особой оригинальностью, но искали новые способы запуска и распространения. Апогеем этой линейки стал Cabir.Dropper, распространяемый в виде файла Norton Antivirus 2004 Professional.sis. Особенностью этого творения является то, что одновременно устанавливаются три версии вируса, несущие целый букет неприятных факторов: инсталлируется некорректное приложение управления Bluetooth соединением, не позволяющее пользователю изменить настройки, иконки программ в меню заменяются на пустые места и т.д. Но это было только начало.

Выходцы из ада

В ноябре 2004 года обладатели Symbian-смартфонов получили еще один повод для беспокойства. Новый вирус, на этот раз классифицируемый как троянский конь, был нацелен на другие слабости пользователя. Некий Tee-222 учел, что современные устройства еще недостаточно функциональны, чтобы вирусы могли распространяться самостоятельно. Поэтому автор спроектировал свой вирус как менеджер тем для телефонов Nokia. Установив вполне безобидный файл ExtendedTheme.sys, пользователь получает необычный интерфейс, в котором все иконки системных приложений подменены на черепа. Кстати, по этой причине вирус и получил зловещее название Sculls. Вдобавок к этому вирус обрывает все связи к системным приложениям Symbian (сторонние приложения не затрагиваются), следствием чего является потеря устройством практически всех функций, можно только звонить и отвечать на звонки.

Этот вирус вызвал неоднозначную реакцию среди антивирусных компаний. Так, руководитель F-Secure Микко Хиппонен заметил, что "пока отмечены лишь единичные случаи заражения телефонов новым вирусом. Мы не можем говорить об огромном количестве инфицированных вирусом телефонов, и это не совсем вирус, он не распространяется". Однако Винсент Уифер, старший директор Symantec по реагированию на кризисные ситуации, обратил внимание на то, что "эта программа не причиняет перманентных разрушений. Но ее появление означает, что люди тратят время на исследование возможностей заражения и повреждения мобильных телефонов. Программа может вызвать головную боль, она не считается серьезной угрозой. И все же это знак, указывающий, в каком направлении может пойти развитие вирусов".

Любопытно, что Sculls был работоспособен только на одном устройстве Nokia 7610, и поэтому многие считали его пробой пера вирусописателя и ждали продолжения. Оно последовало через полторы недели, модификация Sculls.B превзошла своего предшественника. В первую очередь, исключены все визуальные эффекты (не выводится никаких предупреждений на дисплей при инсталляции, не подменяются иконки системных приложений), но при этом остается функциональность оригинального Sculls. К тому же на телефон устанавливается уже упомянутый нами Cabir.B, который может пользоваться Bluetooth-каналом для распространения.

Еще спустя две недели появилась очередная версия Sculls.C, обладающая весьма незаурядной функциональностью. Вирус замаскирован под инсталляционный файл популярной игры Metal Gear Solid, но его главной особенностью является возможность блокировки работы антивирусных программ, ориентированных на предыдущие версии Sculls. В то же время становятся недоступными файловые менеджеры и ряд других приложений. Это так называемая "система обороны" вируса, не позволяющая легко избавиться от него. Что касается размножения, то автор пошел испытанным путем, немного модернизировав его. При выборе иконки Metal Gear Solid устанавливается вирус Cabir.C. Правда, от второго вируса зараженному аппарату мало вреда, ведь он практически недееспособен. Но зато Cabir.C находит посредством Bluetooth другие устройства, и, внедряясь туда, "тянет" за собой еще один файл SEXXXY.sis. При запуске этого файла блокируется кнопка выбора приложений устройства. Надо признать, весьма хитроумная многоходовая комбинация.

Однако на этом история не закончилась, сразу же после Нового года объявилась еще одна версия вируса Sculls.D, маскируемая под файлы Macromedia Flash (Flash_1.1_Full_ DotSiS.sis, Macromedia_Flash_1.1_Full_ DotSiS.sis и другие похожие названия).

Наследники Cabira

Разумеется, все вышеперечисленные вирусы можно считать таковыми только условно, в силу их малой распространенности. Самым слабым местом этих мобильных первенцев был механизм распространения, не позволяющий создать массовую эпидемию. По этой причине многие специалисты по цифровой безопасности не считали вирусы, поражающие сотовые телефоны, серьезной угрозой. Но ничто не стоит на месте, в том числе и создание вирусов, чему подтверждением следующие события. С середины января появилась новая линейка вирусов, являющаяся фактически программой двойного действия. Вирусы Lasco отличаются тем, что могут распространяться как по мобильным каналам связи, так и цепляясь за файлы. Такой способ распространения характерен для компьютерных вирусов, но в мобильной среде встречается впервые.

Так, модификация Lasco. A способна внедриться в любой установочный файл с расширением .sis. Закачав на свой телефон какое-либо приложение с вирусом и установив его (приложение устанавливается обычным образом, при этом попутно инсталлируется вирус без вывода каких-либо сообщений), пользователь становится заложником собственной невнимательности. Теперь если он захочет сбросить, например, своему другу любую из программ со своего устройства в виде дистрибутива, то автоматически "подарит" ему и вирус. В то же время вирус действует и как червь, пытаясь задействовать для этого Bluetooth-интерфейс.

Кстати, вирусописателям уже удалось преодолеть проблему малого количества поддерживаемых устройств, в данном случае вирус способен поражать более десяти моделей терминалов с Symbian OS. К тому же модификация Lasco.B использует для своего распространения и обычные компьютеры. Если запустить вирус на настольном компьютере, то он исправно просканирует все жесткие диски, и, найдя на них файлы с расширением .sis, попытается их заразить.

Однако, не найдя (пока что) эффективных способов распространения своих творений, вирусописатели взялись совершенствовать функциональность. Практически все вышеописанные вирусы действовали поверхностно, не затрагивая самое святое мобильного терминала - звонки. В конце января 2005 года на свет появился вирус с названием, не вызывающим сомнения в национальности автора, - Gavno. Эта вредоносная программа блокирует работу телефона, используя деформированный файл для нарушения работы внутренних процессов Symbian OS. Подобный механизм раньше использовался в вирусе SEXXXY, но тогда блокировалась только одна кнопка. На сей раз нарушается работа абсолютно всех приложений телефона, что приводит к постоянной самопроизвольной перезагрузке аппарата.

Версия A вируса распространяется при помощи файла patch.sis, маскирующегося под патч для ОС и является на сегодняшний день самым маленьким (всего 2 Кб) и разрушительным мобильным вирусом. Кстати, существует и версия B вируса, характеризующаяся большим размером и наличием в себе копии Cabir. Любопытно, что автор позиционирует этот вирус на самые последние устройства под управлением Symbian OS версии 7 (Nokia 6600, 7610 и др.), более старые терминалы, работающие под управлением Symbian OS версии 6 (Nokia 3650, Siemens SX1), а также с интерфейсом UIQ (SonyEricsson P900/910) не подвержены его воздействию.

Не Symbian единой

Конечно, доля Symbian OS на рынке мобильных операционных систем составляет порядка 80% и лицензирована ведущими производителями терминалов (Nokia, Siemens, Sony Ericsson, Motorola и др.). Но чтобы у читателя не сложилось представление, что, имея устройство, работающее под управлением иной ОС, можно спать спокойно, мы приведем несколько фактов, заставляющих говорить об обратном.

Так, в свое время вирусописатели проявляли немалый интерес к платформе Palm OS. В начале века было очень модно устанавливать на наладонники эмуляторы игровых консолей и, следовательно, играть в игры, написанные для этих консолей. Под эту марку в конце 2000 года появился троянский конь Liberty, распространяемый в виде файла liberty_1_1_ crack.prc размером 2,7 байта. Позиционировался он как крэк для эмулятора Liberty Gameboy Emulator 1.1. Запустив это приложение, пользователь активизировал работу вируса, который удалял все файлы приложений на КПК и перезагружал его. Правда, называть Liberty полноценным вирусом не стоит, поскольку в нем отсутствовал какой-либо механизм размножения. Нечто подобное представлял собой и Vapor, только на этот раз троянский конь не удалял приложения, а только прятал их иконки путем изменения соответствующих атрибутов.

Первым же настоящим вирусом для Palm OS считается Phage, которому присущи все характеристики этого вида программ. Попав на карманный компьютер, вирус инфицировал все запускаемые файлы и разрушал их (при этом базы данных оставались целыми). На то время было доступно только два способа обмена информацией (инфракрасный порт и док-станция), и вирус задействовал и тот, и другой для своего распространения. Разумеется, это чисто факультативные примеры, перечисленные вирусы не получили широкого распространения, но они еще раз подтверждают, что тяга к вредительству у отдельных личностей зародилась уже давно.

Впрочем, Palm OS в последнее время несколько утратила свои лидирующие позиции в мире карманных компьютеров в пользу Pocket PC/Windows Mobile. Как раз на операционные системы от Microsoft и "накинулись" вирусописатели в середине прошлого года. В июле появился первый вирус для КПК, работающих под управлением Pocket PC различных версий - Duts, вышедший из-под пера все той же группы 29A. Это творение представляет собой программу длиной 1520 байт, которая при запуске вежливо спрашивает у пользователя разрешения на исполнение. При утвердительном ответе происходит заражение подходящих по формату (для процессора ARM) и размеру (больше 4 Кб) исполняемых файлов в корневой директории устройства. Вирус дописывает себя в конец последней секции файла и устанавливает точку входа на свое начало.

Но это были цветочки, в августе увидела свет первая утилита удаленного администрирования (backdoor) для PocketPC/Windows Mobile. Вирус получил название Brador, и его особенностью является возможность предоставления доступа к зараженному КПК через беспроводные сети. После запуска вирус создает свой файл с именем "svchost.exe" в стартовом каталоге, что позволяет ему получать управление при каждом запуске КПК. После этого Brador определяет IP-адрес зараженной системы и отправляет его по электронной почте автору. В случае, если письмо доходит до адресата, то оно для него является знаком, что данный компьютер заражен и в данный момент находится в сети. Для передачи команд/данных вирус открывает и использует порт 2989.

Спам "по воздуху"

Думаем, многие читатели могут вполне резонно заявить, что вышеизложенные проблемы их не касаются, мол, соответствующего терминала нет либо беспроводные коммуникации не используются. Всецело согласны, но... каждый должен об этом знать, потому что потом уж поздно будет. А кстати, какое в России самое распространенное мобильное устройство? Конечно же, сотовый телефон, ведь не зря страна уже третий год подряд входит в первую пятерку самых активно развивающихся с точки зрения мобильной связи. Раз есть телефон, значит, SMS-сообщения он уж точно принимать и отправлять умеет. А, следовательно, любой из нас может стать получателем мобильного спама.

История этого вопроса восходит к июню 2000 года, когда впервые эксперты отмели появление нетипичного компьютерного вируса Timofonica, который распространялся традиционным путем (электронная почта), но пытался воздействовать на сотовую систему испанского оператора Telefonica SA. По задумке авторов вирус должен был периодически рассылать пользователям этой компании SMS-сообщения, призывая звонить на определенные номера (с большой поминутной оплатой). Правда, тогда вовремя спохватились, да и вирус имел массу изъянов, что не привело к обострению проблемы.

В очередной раз эта идея возникла, как это ни странно, в России. В ноябре прошлого года был обнаружен компьютерный вирус Delf, заражающий компьютеры с целью массовой рассылки спама на сотовые телефоны российских операторов. В коде этой троянской программы была заложена функция произвольной рассылки SMS-сообщений на русском языке посредством опции "Send a text message". Любопытно, что при этом используются бесплатные сервисы на сайтах российских операторов. По нашей информации, этот вирус не принес больших неприятностей, но российская идея уже нашла отклик и в других странах.

Если же взять мировые масштабы мобильного спама, то уже впору бить тревогу. Так, например, данные исследования, проведенного учеными швейцарского университета St. Gallen и мобильной фирмой Intrado, свидетельствуют, что в ноябре-декабре 2004 года 8 из 10 пользователей сотовой связи хотя бы единожды получали незапрошенные сообщения. Но наибольшее впечатление на нас произвел рапорт южнокорейского государственного аналитического агентства по безопасности, где видно, что динамика роста мобильного спама значительно превышает такие же показатели по получению нежелательных писем через электронную почту. Многие аналитики считают, что эта информация в некоторой степени отражает и наше будущее.

Надежда умирает последней

Анализ сегодняшней ситуации показывает, что пока что вредоносные программы для мобильных терминалов не добились значительных успехов, дело до эпидемии не дошло. Но уже очевидно, что портативные устройства неумолимо приближаются к компьютерам, как по своей функциональности, так и, с другой стороны, в плане уязвимости к "мобильной заразе". Большинство специалистов прогнозируют появление еще большего числа мобильных вирусов в текущем году и считают, что немалый вклад в это внесет широкое развитие беспроводных сетей Wi-Fi. В то же время уверенно заявил о себе и рынок мобильных антивирусов, соответствующие продукты уже выпускают F-Secure, TrendMicro, Network Associates, Symantec, Лаборатория Касперского и др. Что ж, теперь можно смело утверждать: противостояние "вирус - антивирус" на мобильном фронте началось. А тем временем вирусы становятся все более совершенными в том, что они и так делают очень хорошо...

P.S. Буквально на днях в США обнаружены новые усовершенствованные модификации мобильного вируса Cabir (Cabir.H и Cabir.I), заражающие один смартфон за другим, не требуя перезагрузки. Любопытно, что они были обнаружены одним из посетителей мобильного салона случайно - на дисплее его устройства появилось предупреждение системы безопасности. На сегодняшний день замечены уже в 15 странах. Как говорится, no comment.



статьи
статьи
 / 
новости
новости
 / 
контакты
контакты