11:24 Опасный тандем | |
Несколько дней назад, в сети появилась информация о том, что на некоторых сайтах в Рунете, распространяющих программное обеспечение для
смартфонов и КПК появились жалобы пользователей на то, что практически все скачиваемые новые
CAB-файлы (установочные архивы для смартфонов с ОС Windows Mobile)
содержат 2 лишних исполняемых файла. При этом, оба файла встречались в
архивах с совершенно разными программами или играми. После анализа файлов, выяснилось, что оба эти файла оказались вредоносными. Первый файл,
устанавливающийся в систему с именем srvupdater1.exe, на самом деле
является троянцем-загрузчиком, и детектируется средствами Лаборатории Касперского, как
Trojan-Downloader.WinCE.MobUn.a. Второй файл устанавливается в систему
под именем msservice.exe и является SMS-троянцем, который детектируется
как Trojan-SMS.WinCE.MobUn.a. Оба эти троянца получают параметры для своей работы с URL’а вида http://m*******t.ru/index.php?******=param. Trojan-SMS.WinCE.MobUn пытается соединиться с данным URL’ом и, в
случае успеха, загружает информацию с приведенной выше ссылки.
Загружаемые данные имеют следующий вид:
Param1 – это интервал между SMS-сообщениями; param2 – версия троянца; param3 – номер, на который будут отправляться SMS-сообщения (в данном случае сообщения отправляются на номер 1121, каждое стоит 3,5 рубля); param4 – текст SMS-сообщения; param5 – URL для загрузки новой версии троянца. На момент написания данного блога param5 по-прежнему был пуст. Что же касается загрузчика Trojan-Downloader.WinCE.MobUn, то он загружает ту же самую информацию с того же самого URL’а, однако данному зловреду интересен именно param5. Если он не пуст, то троянец загружает по указанной в param5 ссылке новую версию Trojan-SMS.WinCE.MobUn, после чего удаляет старую версию SMS-троянца, а новую запускает на исполнение: Мы уже писали про SMS-троянцев, которые загружают информацию для своей работы с удаленного сервера злоумышленников. Еще в 2008 году, в Сети встречались зловреды для мобильных устройств, которые осуществляют попытки загрузки новых файлов с удаленного сервера(Worm.WinCE.InfoJack был первопроходцем). Однако появление троянца-загрузчика и SMS-троянца, работающих в одной связке, является новым шагом в эволюции вредоносных программ для мобильных устройств.
| |
|
Всего комментариев: 0 | |