20:32 25.02.2010 Новые подробности о Worm.SymbOS.Yxe.e | |
Только вчера мы сообщили об обнаружении специалистами Лаборатории Касперского новой модификации сетевого червя для смартфонов Worm.SymbOS.Yxe.e. И вот новые подробности! Что же нового удалось выяснить? Как уже сообщалось, для своего распространения червь использует MMS-сообщения, однако к сообщению прикрепляется не тело червя, а черно-белая картинка с изображением черепа и перекрещенных костей. MMS содержит текст, предлагающий посмотреть частную информацию, связанную с китайской актрисой Жанг Зии, а так же ссылку http://tran******.com. В том случае, если пользователь перейдет по ссылке со своего
смартфона, то ему будет предложено загрузить и установить файл
LanPackage.sisx размером 57573 байт. Если же попытаться перейти по той
же самой ссылке с помощью обычного браузера на компьютере, то в окне
браузера появится следующее сообщение:
То есть удаленный сервер злоумышленника проверяет браузер, с которого идет запрос к сайту, и в том случае, если браузер не является мобильным, выдает ошибку 404. После запуска файла LanPackage.sisx пользователя спрашивают о разрешении на установку: Сведения о сертификате: В случае подтверждения установки на смартфон пользователя копируются следующие файлы:
После установки червь начинает свою работу, то есть собирает данные о смартфоне и отправляет их на сервер злоумышленника; рассылает MMS-сообщения с ссылкой на себя всем контактам из адресной книги пользователя; пытается завершить работу программ AppMngr, TaskSpy, Y-Tasks, ActiveFile, TaskMan, а также блокирует менеджер установленных приложений, дабы препятствовать своему удалению. Помимо вышеперечисленного червь Yxe.e также пытается соединиться с сайтом китайской социальной сети "Happy Net" и загрузить еще один файл, который на момент написания данного постинга был недоступен. Worm.SymbOS.Yxe, появившийся год назад, стал, к сожалению, в один ряд с такими зловредами, как Cabir и Comwar. Cabir - первый Bluetooth-червь и первый зловред для мобильных платформ; Comwar первым использовал MMS-сообщения для своего распространения; Yxe стал первой in-the-wild вредоносной программой, подписанной легальным сертификатом. Распространение с различной интенсивностью множества модификаций "первопроходцев" Cabir'а и Comwar'а шло не один год. Worm.SymbOS.Yxe действует уже более года, и, похоже, не собирается останавливаться на "достигнутом". | |
|
Всего комментариев: 0 | |