На главную

 

  

Сотовые телефоны

Siemens sl45i

Картинки 1024Х768

Компьютеры

Полезные программы

Прикольные картинки и анекдоты

Flash игры

Продажа АВТО

История сайта iRON lab.

Гостевая книга

ironlab@yandex.ru

  
13.05.2005 - Lasco.A - червь, поражающий мобильные телефоны
  

Краткое описание

Lasco.A - это червь, поражающий сотовые телефоны, работающие под управлением Symbian Series 60. Он распространяется через Bluetooth и заражает SIS файлы. Червь ищет устройства, принимающие Bluetooth соединения. Найденным устройствам посылается сообщение, содержащее файл вируса: velasco.sis. Если пользователь установит полученный файл (то есть выполнит команду install velasco.sis), то телефон окажется зараженным. Помимо того, что Lasco.A постоянно отсылает свои копии всем доступным устройствам, он может заражать и другие SIS программы, установленные на телефоне. Зараженные таким образом программы не рассылаются. Если зараженный SIS файл окажется на "чистом" телефоне, то при попытке установить программу запустится инсталлятор Lasco.A, который предложит пользователю выполнить установку вируса. Lasco.A похож на Cabir.H, но отличается от него способом заражения SIS файлов. Lasco.A может заражать только телефоны, Bluetooth адаптер которых находится в активном режиме. Таким образом, чтобы оградить себя от опасности, достаточно установить Bluetooth в режим hidden. Если же червь уже проник на ваш телефон, то он будет распространяться, не смотря на ваши попытки выключить Bluetooth.

Дезинфекция

Обнаружить и удалить Lasco.A можно с помощью F-Secure Mobile Anti-Virus. После удаления червя можно стереть папку c:\system\symbiansecuredata\velasco\. Lasco.A блокирует возможность установки программ через Bluetooth, поэтому для инсталляции антивируса проделайте следующие операции:

Откройте web-браузер на телефоне.
Перейдите на страницу http://mobile.f-secure.com/
Нажмите на ссылку "Download F-Secure Mobile Anti-Virus" и выберите модель телефона.
Скачайте и запустите файл.
Установите F-Secure Mobile Anti-Virus.
Зайдите в меню applications и запустите антивирус.
Активируйте антивирус, и просканируйте все файлы.

Детальное описание вируса Lasco.A

Распространение вируса Lasco.A через Bluetooth
Как уже было сказано, Lasco.A передаётся через bluetooth соединение. Файл velasco.sis включает в себя исполняемый файл червя velasco.app, модуль распознавания системы marcos.mdl и ресурсный файл velasco.rsc. После установки velasco.sis, SIS автоматически запускает velasco.app. Файл velasco.sis не принимается телефоном, пока пользователь не даст на это свое согласие. Как только червь окажется внутри телефона, он начинает искать другие bluetooth устройства и отсылать им файл velasco.sis. Если в процессе передачи произошел обрыв соединения, Lasco.A пытается обнаружить и заразить следующее устройство. Такой механизм репликации обеспечивает быстрое распространение вируса.

Распространение вируса Lasco.A через инфицированные SIS файлы
Lasco.A имеет еще один механизм распространения. Он инфицирует установленные на телефоне SIS файлы, добавляя в их конец velasco.sis и модифицируя их заголовок. Установка зараженного SIS приложения приведет к автоматическому запуску velasco.sis. Однако, как и прежде, у пользователя будет запрошено подтверждение на установку Velasco. Если Velasco получит разрешение на установку, то исполняемые файлы червя сначала будут скопированы в папки: c:\system\apps\velasco\velasco.rsc
c:\system\apps\velasco\velasco.app
c:\system\apps\velasco\flo.mdl
а затем, после запуска вируса, в c:\system\recogs\flo.mdl
c:\system\symbiansecuredata\velasco\velasco.app
c:\system\symbiansecuredata\velasco\velasco.rsc
Такая сложная манипуляция позволяет вирусу заражать телефон, даже если программа устанавливается на съемную карту памяти. Кроме того, благодаря этому трюку пользователь не может уничтожить вирус, выполнив uninstall SIS файла зараженной программы. После того как червь установлен и запущен, он создает (из компонентов червя и блоков данных файла velasco.app) новый файл velasco.sis. Когда velasco.sis создан, Lasco.A производит поиск всех SIS программ на телефоне, модифицирует их заголовок и внедряет свой код. Таким образом, все файлы на телефоне оказываются инфицированными.

Обнаружение

Обнаружить вирус можно с помощью F-Secure mobile Anti-Virus. Вирус был добавлен в базу 10 января 2005 г.

Источник: www.mobilab.ru

Hosted by uCoz