آشنایی با ویروس های موبایل
آشنایی با ویروس موبایل Skulls
Skulls A
اطلاعات:
دشمن فایل های sis وتروجانی است كه برنامه های سیستمی را بدون نظم خاصی جابه جا كرده موبایل تابعا از كارافتاده میشود
فایل skull با نام Extended theme.sis منتشر شد و ادعا كرد كه یك theme manager برای 7610 میباشد كه به وسیله "Tee-222" نوشته شده است
اگر skull بر روی موبایلی نصب شود باعث میشود icon همه برنامه ها به وسیله icon تروجان skull و استخوان ضربدری جایگزین شوند
و بعد از آن ایكن ها دیگر به یك برنامه مشخص مربوط نیستند و توانایی اجرا ندارند!
قابل توجه كسایی كه هر برنامهای كه از اینترنت میگیرند سریع بر روی موبایل نصب میكنند!
اساسا این بدین معنی میباشد كه اگر این تروجان بر روی سیستمی نصب شود فرد فقط قادربه ارتباط تلفنی با گوشی خود میباشد. همه تابع ها كه به طریقی ارتباط به برنامه سیستمی داشته باشند از قبیل sms , mms , web browsing , camera , ... كاركرد خود را از دست میدهند
اگه skull بر روی سیستمی نصب شده باشد مهم ترین كار اینه كه سیستم رو reboot نكنید.
و به دنبال disinfection فایل های مربوطه را حذف كنید.
Disinfection :
با توجه به اینكه همه برنامه ها از كار افتاده بنابراین باید یك third-party file manager نصب وفایل های زیر را delete كنید:
c:\System\Apps\About\About.aif
c:\System\Apps\About\About.app
c:\System\Apps\AppInst\AppInst.aif
c:\System\Apps\AppInst\Appinst.app
c:\System\Apps\AppMngr\AppMngr.aif
c:\System\Apps\AppMngr\Appmngr.app
c:\System\Apps\Autolock\Autolock.aif
c:\System\Apps\Autolock\Autolock.app
c:\System\Apps\Browser\Browser.aif
c:\System\Apps\Browser\Browser.app
c:\System\Apps\BtUi\BtUi.aif
c:\System\Apps\BtUi\BtUi.app
c:\System\Apps\bva\bva.aif
c:\System\Apps\bva\bva.app
c:\System\Apps\Calcsoft\Calcsoft.aif
c:\System\Apps\Calcsoft\Calcsoft.app
c:\System\Apps\Calendar\Calendar.aif
c:\System\Apps\Calendar\Calendar.app
c:\System\Apps\Camcorder\Camcorder.aif
c:\System\Apps\Camcorder\Camcorder.app
c:\System\Apps\CbsUiApp\CbsUiApp.aif
c:\System\Apps\CbsUiApp\CbsUiApp.app
c:\System\Apps\CERTSAVER\CERTSAVER.aif
c:\System\Apps\CERTSAVER\CERTSAVER.APP
c:\System\Apps\Chat\Chat.aif
c:\System\Apps\Chat\Chat.app
c:\System\Apps\ClockApp\ClockApp.aif
c:\System\Apps\ClockApp\ClockApp.app
c:\System\Apps\CodViewer\CodViewer.aif
c:\System\Apps\CodViewer\CodViewer.app
c:\System\Apps\ConnectionMonitorUi\ConnectionMonit orUi.aif
c:\System\Apps\ConnectionMonitorUi\ConnectionMonit orUi.app
c:\System\Apps\Converter\Converter.aif
c:\System\Apps\Converter\converter.app
c:\System\Apps\cshelp\cshelp.aif
c:\System\Apps\cshelp\cshelp.app
c:\System\Apps\DdViewer\DdViewer.aif
c:\System\Apps\DdViewer\DdViewer.app
c:\System\Apps\Dictionary\Dictionary.aif
c:\System\Apps\Dictionary\dictionary.app
c:\System\Apps\FileManager\FileManager.aif
c:\System\Apps\FileManager\FileManager.app
c:\System\Apps\GS\GS.aif
c:\System\Apps\GS\gs.app
c:\System\Apps\ImageViewer\ImageViewer.aif
c:\System\Apps\ImageViewer\ImageViewer.app
c:\System\Apps\location\location.aif
c:\System\Apps\location\location.app
c:\System\Apps\Logs\Logs.aif
c:\System\Apps\Logs\Logs.app
c:\System\Apps\mce\mce.aif
c:\System\Apps\mce\mce.app
c:\System\Apps\MediaGallery\MediaGallery.aif
c:\System\Apps\MediaGallery\MediaGallery.app
c:\System\Apps\MediaPlayer\MediaPlayer.aif
c:\System\Apps\MediaPlayer\MediaPlayer.app
c:\System\Apps\MediaSettings\MediaSettings.aif
c:\System\Apps\MediaSettings\MediaSettings.app
c:\System\Apps\Menu\Menu.aif
c:\System\Apps\Menu\Menu.app
c:\System\Apps\mmcapp\mmcapp.aif
c:\System\Apps\mmcapp\mmcapp.app
c:\System\Apps\MMM\MMM.app
c:\System\Apps\MmsEditor\MmsEditor.aif
c:\System\Apps\MmsEditor\MmsEditor.app
c:\System\Apps\MmsViewer\MmsViewer.aif
c:\System\Apps\MmsViewer\MmsViewer.app
c:\System\Apps\MsgMailEditor\MsgMailEditor.aif
c:\System\Apps\MsgMailEditor\MsgMailEditor.app
c:\System\Apps\MsgMailViewer\MsgMailViewer.aif
c:\System\Apps\MsgMailViewer\MsgMailViewer.app
c:\System\Apps\MusicPlayer\MusicPlayer.aif
c:\System\Apps\MusicPlayer\MusicPlayer.app
c:\System\Apps\Notepad\Notepad.aif
c:\System\Apps\Notepad\Notepad.app
c:\System\Apps\NpdViewer\NpdViewer.aif
c:\System\Apps\NpdViewer\NpdViewer.app
c:\System\Apps\NSmlDMSync\NSmlDMSync.aif
c:\System\Apps\NSmlDMSync\NSmlDMSync.app
c:\System\Apps\NSmlDSSync\NSmlDSSync.aif
c:\System\Apps\NSmlDSSync\NSmlDSSync.app
c:\System\Apps\Phone\Phone.aif
c:\System\Apps\Phone\Phone.app
c:\System\Apps\Phonebook\Phonebook.aif
c:\System\Apps\Phonebook\Phonebook.app
c:\System\Apps\Pinboard\Pinboard.aif
c:\System\Apps\Pinboard\Pinboard.app
c:\System\Apps\PRESENCE\PRESENCE.aif
c:\System\Apps\PRESENCE\PRESENCE.APP
c:\System\Apps\ProfileApp\ProfileApp.aif
c:\System\Apps\ProfileApp\profileapp.app
c:\System\Apps\ProvisioningCx\ProvisioningCx.aif
c:\System\Apps\ProvisioningCx\ProvisioningCx.app
c:\System\Apps\PSLN\PSLN.aif
c:\System\Apps\PSLN\PSLN.app
c:\System\Apps\PushViewer\PushViewer.aif
c:\System\Apps\PushViewer\PushViewer.app
c:\System\Apps\Satui\Satui.aif
c:\System\Apps\Satui\Satui.app
c:\System\Apps\SchemeApp\SchemeApp.aif
c:\System\Apps\SchemeApp\SchemeApp.app
c:\System\Apps\ScreenSaver\ScreenSaver.aif
c:\System\Apps\ScreenSaver\ScreenSaver.app
c:\System\Apps\Sdn\Sdn.aif
c:\System\Apps\Sdn\Sdn.app
c:\System\Apps\SimDirectory\SimDirectory.aif
c:\System\Apps\SimDirectory\SimDirectory.app
c:\System\Apps\SmsEditor\SmsEditor.aif
c:\System\Apps\SmsEditor\SmsEditor.app
c:\System\Apps\SmsViewer\SmsViewer.aif
c:\System\Apps\SmsViewer\SmsViewer.app
c:\System\Apps\Speeddial\Speeddial.aif
c:\System\Apps\Speeddial\Speeddial.app
c:\System\Apps\Startup\Startup.aif
c:\System\Apps\Startup\Startup.app
c:\System\Apps\SysAp\SysAp.aif
c:\System\Apps\SysAp\SysAp.app
c:\System\Apps\ToDo\ToDo.aif
c:\System\Apps\ToDo\ToDo.app
c:\System\Apps\Ussd\Ussd.aif
c:\System\Apps\Ussd\Ussd.app
c:\System\Apps\VCommand\VCommand.aif
c:\System\Apps\VCommand\VCommand.app
c:\System\Apps\Vm\Vm.aif
c:\System\Apps\Vm\Vm.app
c:\System\Apps\Voicerecorder\Voicerecorder.aif
c:\System\Apps\Voicerecorder\Voicerecorder.app
c:\System\Apps\WALLETAVMGMT\WALLETAVMGMT.aif
c:\System\Apps\WALLETAVMGMT\WALLETAVMGMT.APP
c:\System\Apps\WALLETAVOTA\WALLETAVOTA.aif
c:\System\Apps\WALLETAVOTA\WALLETAVOTA.APP
c:\System\Libs\licencemanager20s.dll
c:\System\Libs\lmpro.r01
c:\System\Libs\lmpro.r02
c:\System\Libs\notification.cmd
c:\System\Libs\softwarecopier200.dll
c:\System\Libs\ZLIB.DLL
skulls B
اطلاعات:
این تروجان نیز یكی از انواع SymbOS/Skulls.A میباشد كه عملا مانند skulls A عمل كرده ولی از فایل های مختلفی برای این كار استفاده میكند
این یكی نیز كارهای قبلی را انجام میدهد به علاوه اینكه كرم SymbOS/Cabir.B را نیز در گوشی آزاد میكند.
این ویروس كبیر كه به وسیله skullsB در سیستم رها میشود خود به خود فعال نیست اما اگر كاربر بر روی icon آن واقع در menu كلیك كند این كرم فعال شده وسعی در آلوده كردن موبایل های دیگر میكند.
فایل اصلی skulls B با نام "Icons.SIS" انتشار میابد و بر خلاف skulls A هیچ پیامی حین نصب به جز "Installation security warning - unable to verify supplier" نمیدهد. البته این پیغام سیستمی است و به خود برنامه ربطی ندارد.
ایكن های استاندارد را با ایكن های عمومی و استخوان ضربدر جایگزین میكند.
Disinfection :
مثل skulls A ولی لازم است فایل های دیگری رانیز پاك كنید:
c:\system\apps\CamTimer\camtimer.app
c:\system\apps\CamTimer\camtimer.rsc
c:\system\apps\caribe\caribe.rsc
c:\system\apps\caribe\caribe.app
c:\system\apps\caribe\flo.mdl
c:\system\recogs\flo.mdl
c:\system\symbiansecuredata\caribesecuritymanager\ caribe.app
c:\system\symbiansecuredata\caribesecuritymanager\ caribe.rsc
c:\system\symbiansecuredata\caribesecuritymanager\ camtimer.sis
آشنایی با ویروس موبایل کبیر
كبیر یك ویروس نه چندان قوی كه از طریق بلوتوث بر روی موبایل های سیمبیان وplatform 60 انتشار میابد.
این ویروس به وسیله بلوتوث و از طریق message به inbox با نام cabir.sis وارد شده بعد از install شروع بع فعالیت میكند و به دنبال موبایل جدید برای آلوده كردن سرچ میكند.وقتی این كرم وسیله جدیدی یافت شروع به فرستادن فایل sis به آن دستگاه میكند. در این حالت روی موبایل مورد نظر قفل كرده و به موبایل دیگری توجه نمیكند حتی اگر هدف از محدوده دور شود!
در نظر داشته باشید كه این ویروس فقط قابل انتشار بر روی موبایل های بلوتوث داری میباشد كه بلوتوث انها در حالت visible mode باشد. پس اگر شما بلوتوث خود را بر روی hidden mode قرار دهید گوشی شما در مقابل این ویروس كاملا محافظت خواهد شد.
ولی اگر سیستمی به این كرم آلوده باشد و حتی بلوتوث آن خاموش باشد یا فرد درصدد خاموش كردن آن باشد این كرم آن را روشن كرده و سعی در انتشار خود میكند!
برای خلاصی از این ویروس كافی است فایل های زیر را به وسیله یك برنامه مدیریت فایل پاك كنید:
disinfection :
این فایلها را حذف كنید :
c:\system\apps\caribe\caribe.rsc
c:\system\apps\caribe\caribe.app
c:\system\apps\caribe\flo.mdl
c:\system\recogs\flo.mdl
c:\system\symbiansecuredata\caribesecuritymanager\ caribe.app
c:\system\symbiansecuredata\caribesecuritymanager\ caribe.rsc
آشنایی با ویروس موبایل Qdial.A
Qdial.A
اطلاعات:
این تروجان ورژن كرك شده برنامه Mosquitos game میباشد كه بر روی Symbian Series 60 Platform.اجرا میشود.
این برنامه از internet و peer-to-peer networks به دست میاد.
وقتی كه موبایل به این تروجان آلوده شد شروع به فرستادن sms به یك شماره(كه هر بار عوض میشه) میكند . محتوای این پیام چند شماره مخصوص پشت سرهم میباشد كه ظاهرا برای دریافت جایزه است و میتواند كاربر را تشویق به فرستادن آنها كند.!
شماره مورد نظر به United Kingdom (UK), Germany, Netherland و Switzerland میباشد كه باعث افزایش قبض تلفن میشود.
خوشبختانه این Trojan قابل انتشار به شماره ارسال شده و یا دفترچه تلفن نمی باشد.
Disinfection :
خیلی راحت از بازی )پشه)Mosquitos خارج شوید و به وسیله manager آنرا uninstall كنید
آشنایی با ویروس موبایل Lasco.A
Lasco.A :
این كرم خیلی شبیه به Cabir H است تنها تفاوت اساسی عبارت است از :
علاوه بر اینكه این كرم خود را به وسیله بلوتوث منتشر میكند وقتی كه در یك دستگاه نصب شد خود را درون هر فایل Sis كه پیدا كند نیز قرار میدهد.
این كرم با نام velasco.sis به inbox وارد شده و تكرار میشود.
همانند كبیر H استعداد این كرم در این است كه وقتی تلفن سرچ شده از محل دور شد سریعا دوباره شروع به سرچ كردن در نقاط نزدیكتر میكند.
این فایل installation شامل مجموعه فایل هایی است. فایل اصلی قابل اجرا : velasco.ap ----- فایل شناخت سیستم : marcos.mdl
و فایل منبع و دارای ابتكار : velasco.rsc . همچنین فایل SiS داری autostart setting است كه سریعا فایل velasco.app رابعد از نصب اجرا میكند.
مكانیسم با استعداد در این كرم باعث شده به صورت سریع و وحشی وار پخش شود.
نكته مهم در مورد این كرم و كبیر H این است كه افراد به این كرم ها اهمیت نمیدهند و در صدد پاك كردن آن از روی سیستم خود نیستند و در همین ایران این كرم به شدت پخش شده كما اینكه به هر جایی میری می بینی یكی هی داره بهت فایل میفرسته!
Infection : نحوه آلوده كردن
در این مكان ها فایل های زیر به وجود می آیند.
c:\system\apps\velasco\velasco.rsc
c:\system\apps\velasco\velasco.app
c:\system\apps\velasco\flo.mdl
و وقتی كه فایل velasco.app اجرا شد این فایل ها را ایجاد میكند.
flo.mdl to c:\system\recogs
velasco.app to c:\system\symbiansecuredata\velasco\
caribe.rsc to c:\system\symbiansecuredata\velasco\
خیلی از كسانی كه موبایلشان به این كرم آلوده شده اگه زیاد هنر كنند فایل اصلی sis رو پاك میكنند ولی این فایل دوباره توسط velasco.app ایجاد میشود
فایل به وسیله داده های توده ای و تركیبات موجود در velasco.app به وجود میاید.
بعد از اینكه به وسیله كامل اجرا شد به دنبال فایل های sis میگردد و خود را درون آنها مخفی میكن تا وقتی كه آنها اجرا شدند این كرم نیز فعال شود!
Disinfection : simwork or f-secure
آشنایی با ویروس موبایل CommWarrior.A
CommWarrior.A :
كارشناسان حفاظت گزارش داده اند كه آنها دارند روی اولین ویروسی كار میكنند كه قادر به تكثیر خود از راه Multimedia Messaging Service (MMS) میباشد. CommWarrior روی گوشی های سیمبیان سری 60 اجرا شده وبه وسیله mms كه شامل عكس صدا تصویر است و از یك گوشی به گوشی دیگر به وسیله email منتقل میشود.
ویروس هایی كه به وسیله بلوتوث انتشار میافتند دارای محدودیت بودند زیرا فقط كافی بود موبایل هدف چند متر دور شود. ولی این ویروس میتواند جهانی شود مثل كرم هایی كه توسط email پخش میشدند. آزمایشگاه f-secure اعلام كرد كه بعد از بررسی كدهای این ویروس جزییات بیشتری پست میكند. این ویروس تحت مطالعه میباشد و تا الان 2 ورژن مختلف آن مشاهده شده است.
فایل های زیر را در موبایل ایجاد میكند:
\system\apps\CommWarrior\commwarrior.exe
\system\apps\CommWarrior\commrec.mdl
\system\updates\commrec.mdl
\system\updates\commwarrior.exe
\system\updates\commw.sis
كه شامل text نیز هست. محتوای آن:
CommWarrior v1.0 © 2005 by e10d0r
OTMOP03KAM HET!
جمله آخر به روسی است و معنی آن به فارسی میشود " مرگ مغزها .... نه!"
مشكل با این ویروس میتواند بد تر از اینها هم باشد زیرا به راحتی در اینترنت یافت میشود و نویسنده آن به نام "e10d0r" حتی یك سایت برای این مخرب ساخته است!
این ویروس آب باتری رو میكشه و شیره Acount رو میخوره!
Disinfection :
هنوز معلوم نیست و داره بررسی میشه.
HOAX VIRUS :
ورژن 1 :
To: ALL ORANGE USERS
اگه یك تماس تلفنی دریافت كردید و روی صفحه نمایش نوشته شده بود ACE-? به این تماس جواب ندید ! وسریعا تلفن رو قطع كنید
در صورت جواب دادن گوشی شما به این ویروس آلوده میشه. این ویروس همه IMEI و IMSI و همه اطلاعات روی گوشی و سیم كارت رو پاك میكنه
كه حتی شما نمیتونید به شبكه تلفن وصل شوید (telephone network ) و مجبور به خرید گوشی جدید هستید. این اطلاعات به وسیله دو شركت مهم تایید شده ( nokia and Motorola ) . در آمریكا 3 ملیون گوشی به وسیله این ویروس آلوده شده اند!
ورژن 2 :
Dear all mobile phone"s owners
ATTENTION!!!
NOW THERE IS A VIRUS ON MOBILE PHONE SYSTEM..
این ویروس نیز توانایی آلوده كردن همه موبایل های دیجیتالی رو داره كه توانایی نشان دادن in-coming call دارند.
در اینكی ورژن روی صفحه نمایش نوشته میشه : "UNAVAILABLE"
آشنایی با ویروس موبایل Locknut.B
Locknut.B :
یك تروجان مضر كه تظاهر به یك patch برای گوشی های سیمبیان سرس 60 میكند.
وقتی نصب شود یك تركیب دودویی بر روی سیستم رها میكند كه " critical System component " را خرد میكند. این كار باعث جلوگیری از اجرای هر برنامه توسط موبایل میشود. بنابراین علنا تلفن قفل میشود.
همچنین Locknut.B یكی از انواع كبیر به نام Cabir.V را در موبایل رها میكند اما به طور اتوماتیك فعال نمیشود .
. حتی اگر Locknut.B گندزدایی شود Cabir.V در سیستم باقی میماند البته به صورت غیر فعال درست مثل اینكه در یك محل اشتباه نصب شده باشد . تا كی ؟ تا وقتی كه كاربر به طور دستی آن را فعال كند در این هنگام شروع به انتشار خود میكند.
جزئیات محل :
Locknut.B یك فایل sis میباشد كه ROM را از كار انداخته و با ریشه ای نامشخص به كار خود ادامه میدهد.ای تروجان فایل های زیر را در محل های زیر ایجاد میكند :
c:\system\apps\gavnor\gavnor.app
c:\system\apps\gavnor\gavnor.rsc
c:\system\apps\gavnoreturn\flo.mdl
c:\system\apps\gavnoreturn\gavnoreturn.app
c:\system\apps\gavnoreturn\gavnoreturn.rsc
c:\system\apps\gavnoreturn\gavnoreturn_caption.rsc
بعضی از فایل های رها شده حامل فایل تكس است كه نویسنده تروجان اینچنین نوشته است :
Spreading in MMFpatch.sis
اساس كار این تروجان رها كردن فایل های فاسد است كه باعث ناتوان كردن موبایل در اجرای برنامه ها میشود.
Disinfection :
فایل های نامبرده را حذف كنید.
