Ewolucja złośliwego oprogramowania VII-IX 2006

Przeczytaj także: Ewolucja złośliwego oprogramowania I-VI 2006

Comwar 3.0

W sierpniu firmy antywirusowe otrzymały nowy wariant szkodnika Comwar - najbardziej rozpowszechnionego robaka rozprzestrzeniającego się za pośrednictwem MMS-ów.

Szczegółowa analiza wykazała, że robak ten zawiera następujące ciągi tekstowe:

• CommWarrior Outcast: The Dark Masters of Symbian.
• The Dark Side has more power!
• CommWarrior v3.0 Copyright (c) 2005-2006 by e10d0r
• CommWarrior is freeware product. You may freely distribute it in it's original unmodified form.

Nowy wariant różnił się od poprzednich nie tylko numerem wersji (3.0), ale również tym, że rosyjski autor wprowadził kilka innowacji technicznych. Był to pierwszy wariant, który wykorzystywał technologię infekowania plików: robak szukał w telefonie innych plików SIS i zapisywał się do nich. Zapewniało mu to dodatkową metodę propagacji, oprócz tradycyjnych metod wykorzystujących MMS-y i technologię Bluetooth.

Zasadniczo, Comwar wykorzystuje obecnie wszystkie możliwe wektory przenikania do urządzeń. Wszystkie, z wyjątkiem jednego. Pod koniec sierpnia udowodnił to inny robak - Mobler.a.

Mobler.A

Mobler.a był pierwszym wirusem wieloplatformowym zdolnym do infekowania zarówno systemu Symbian jak i Windows. Jego metoda rozprzestrzeniania się jest następująca: robak kopiuje się z komputera do telefonu i na odwrót. Jeśli zostanie uruchomiony na komputerze PC, zrzuca plik SIS na dysk E:\. Plik ten zawiera kilka pustych plików i nadpisuje nimi kilka aplikacji systemowych. Zawiera również komponent Win32 robaka, który kopiuje się do wymiennej karty pamięci urządzenia i zrzuca plik o nazwie autorun.inf. Jeśli zainfekowany telefon jest podłączony do komputera i zostanie podjęta próba uzyskania dostępu do wymiennej karty pamięci, robak automatycznie się uruchomi i zainfekuje komputer.

Mobler.a jest kodem typu "proof of concept" stworzonym przez nieznanego autora; jednak stosowana przez niego metoda propagacji teoretycznie mogłaby stać się jedną z najpopularniejszych metod wykorzystywanych do infekowania urządzeń mobilnych. Możliwe, że miałaby też większy wpływ na ewolucję mobilnego złośliwego oprogramowania niż metoda rozprzestrzeniania się za pośrednictwem MMS-ów, ponieważ celem ataków byłyby nie tylko urządzenia przenośne ale również komputery. Naturalnie, komputery zawierają dane, które mogą zainteresować cyberprzestępców. Uwzględniając powyższe, wirus Mobler.a powinien zostać uznany za nową metodę atakowania komputerów osobistych, a nie całkowicie nowy sposób przenikania do telefonów komórkowych.

Acallno

Ogólnie, złośliwe oprogramowanie znajduje się w stanie stagnacji. Prawie wszystkie możliwe technologie, typy i klasy wirusów dla smartfonów działających pod kontrolą systemu Symbian zostały już zaimplementowane. Stosunkowo niewielka liczba właścicieli smartfonów (w porównaniu z właścicielami komputerów) oraz fakt, że infekowanie telefonów nie przynosi oczywistych zysków finansowych to czynniki, które hamują masowe rozprzestrzenianie się mobilnego złośliwego oprogramowania. Zasoby, które można obecnie ukraść z telefonu są ograniczone - należy do nich książka adresowa, logi rozmów telefonicznych i SMS-ów, a celem trojana Acallno są właśnie dane dotyczące SMS-ów.