Ай Ком Сервис Опасный тандем - 26 Февраля 2011 - Ай Ком Сервис
Главная » 2011 » Февраль » 26 » Опасный тандем
11:24
Опасный тандем
Несколько дней назад, в сети появилась информация о том, что на некоторых сайтах в Рунете, распространяющих программное обеспечение для смартфонов и КПК появились жалобы пользователей на то, что практически все скачиваемые новые CAB-файлы (установочные архивы для смартфонов с ОС Windows Mobile) содержат 2 лишних исполняемых файла. При этом, оба файла встречались в архивах с совершенно разными программами или играми. После анализа файлов, выяснилось, что оба эти  файла оказались вредоносными. Первый файл, устанавливающийся в систему с именем srvupdater1.exe, на самом деле является троянцем-загрузчиком, и детектируется средствами Лаборатории Касперского, как Trojan-Downloader.WinCE.MobUn.a. Второй файл устанавливается в систему под именем msservice.exe и является  SMS-троянцем, который детектируется как Trojan-SMS.WinCE.MobUn.a. Оба эти троянца получают параметры для своей работы с URL’а вида http://m*******t.ru/index.php?******=param. Trojan-SMS.WinCE.MobUn пытается соединиться с данным URL’ом и, в случае успеха, загружает информацию с приведенной выше ссылки. Загружаемые данные имеют следующий вид:
  • param1 = 9;
  • param2 = 1;
  • param3= 1121;
  • param4= 2*************s;
  • param5=.

Param1 – это интервал между SMS-сообщениями; param2 – версия троянца; param3 – номер, на который будут отправляться SMS-сообщения (в данном случае сообщения отправляются на номер 1121, каждое стоит 3,5 рубля); param4 – текст SMS-сообщения; param5 – URL для загрузки новой версии троянца. На момент написания данного блога param5 по-прежнему был пуст.

Что же касается загрузчика Trojan-Downloader.WinCE.MobUn, то он загружает ту же самую информацию с того же самого URL’а, однако данному зловреду интересен именно param5. Если он не пуст, то троянец загружает по указанной в param5 ссылке новую версию Trojan-SMS.WinCE.MobUn, после чего удаляет старую версию SMS-троянца, а новую запускает на исполнение:


Мы уже писали про SMS-троянцев, которые загружают информацию для своей работы с удаленного сервера злоумышленников. Еще в 2008 году, в Сети встречались зловреды для мобильных устройств, которые осуществляют попытки загрузки новых файлов с удаленного сервера(Worm.WinCE.InfoJack был первопроходцем). Однако появление троянца-загрузчика и SMS-троянца, работающих в одной связке, является новым шагом в эволюции вредоносных программ для мобильных устройств.





Категория: Интернет угрозы | Просмотров: 533 | Добавил: Administrator | Теги: CAB-файл, мобильный троян, Программы для телефона, Windows Mobile, троян, SMS-троянец | Рейтинг: 0.0/0
Всего комментариев: 0
Добавлять комментарии могут только зарегистрированные пользователи.
[ Регистрация | Вход ]