آشنایی با ویروس های موبایل

Skulls A

اطلاعات:
دشمن فايل هاي sis وتروجاني است كه برنامه هاي سيستمي را بدون نظم خاصي جابه جا كرده موبايل تابعا از كارافتاده ميشود
فايل skull با نام Extended theme.sis منتشر شد و ادعا كرد كه يك theme manager براي 7610 ميباشد كه به وسيله "Tee-222" نوشته شده است
اگر skull بر روي موبايلي نصب شود باعث ميشود icon همه برنامه ها به وسيله icon تروجان skull و استخوان ضربدري جايگزين شوند 



و بعد از آن ايكن ها ديگر به يك برنامه مشخص مربوط نيستند و توانايي اجرا ندارند!
قابل توجه كسايي كه هر برنامهاي كه از اينترنت ميگيرند سريع بر روي موبايل نصب ميكنند!
اساسا اين بدين معني ميباشد كه اگر اين تروجان بر روي سيستمي نصب شود فرد فقط قادربه ارتباط تلفني با گوشي خود ميباشد. همه تابع ها كه به طريقي ارتباط به برنامه سيستمي داشته باشند از قبيل sms , mms , web browsing , camera , ... كاركرد خود را از دست ميدهند
اگه skull بر روي سيستمي نصب شده باشد مهم ترين كار اينه كه سيستم رو reboot نكنيد.
و به دنبال disinfection فايل هاي مربوطه را حذف كنيد.
Disinfection :
با توجه به اينكه همه برنامه ها از كار افتاده بنابراين بايد يك third-party file manager نصب وفايل هاي زير را delete كنيد:
c:\System\Apps\About\About.aif 
c:\System\Apps\About\About.app 
c:\System\Apps\AppInst\AppInst.aif 
c:\System\Apps\AppInst\Appinst.app 
c:\System\Apps\AppMngr\AppMngr.aif 
c:\System\Apps\AppMngr\Appmngr.app 
c:\System\Apps\Autolock\Autolock.aif 
c:\System\Apps\Autolock\Autolock.app 
c:\System\Apps\Browser\Browser.aif 
c:\System\Apps\Browser\Browser.app 
c:\System\Apps\BtUi\BtUi.aif 
c:\System\Apps\BtUi\BtUi.app 
c:\System\Apps\bva\bva.aif 
c:\System\Apps\bva\bva.app 
c:\System\Apps\Calcsoft\Calcsoft.aif 
c:\System\Apps\Calcsoft\Calcsoft.app 
c:\System\Apps\Calendar\Calendar.aif 
c:\System\Apps\Calendar\Calendar.app 
c:\System\Apps\Camcorder\Camcorder.aif 

c:\System\Apps\Camcorder\Camcorder.app 
c:\System\Apps\CbsUiApp\CbsUiApp.aif 
c:\System\Apps\CbsUiApp\CbsUiApp.app 
c:\System\Apps\CERTSAVER\CERTSAVER.aif 
c:\System\Apps\CERTSAVER\CERTSAVER.APP 
c:\System\Apps\Chat\Chat.aif 
c:\System\Apps\Chat\Chat.app 
c:\System\Apps\ClockApp\ClockApp.aif 
c:\System\Apps\ClockApp\ClockApp.app 
c:\System\Apps\CodViewer\CodViewer.aif 
c:\System\Apps\CodViewer\CodViewer.app 
c:\System\Apps\ConnectionMonitorUi\ConnectionMonit orUi.aif 
c:\System\Apps\ConnectionMonitorUi\ConnectionMonit orUi.app 
c:\System\Apps\Converter\Converter.aif 
c:\System\Apps\Converter\converter.app 
c:\System\Apps\cshelp\cshelp.aif 
c:\System\Apps\cshelp\cshelp.app 
c:\System\Apps\DdViewer\DdViewer.aif 
c:\System\Apps\DdViewer\DdViewer.app 
c:\System\Apps\Dictionary\Dictionary.aif 
c:\System\Apps\Dictionary\dictionary.app 
c:\System\Apps\FileManager\FileManager.aif 
c:\System\Apps\FileManager\FileManager.app 
c:\System\Apps\GS\GS.aif 
c:\System\Apps\GS\gs.app 
c:\System\Apps\ImageViewer\ImageViewer.aif 
c:\System\Apps\ImageViewer\ImageViewer.app 
c:\System\Apps\location\location.aif 
c:\System\Apps\location\location.app 
c:\System\Apps\Logs\Logs.aif 
c:\System\Apps\Logs\Logs.app 
c:\System\Apps\mce\mce.aif 
c:\System\Apps\mce\mce.app 
c:\System\Apps\MediaGallery\MediaGallery.aif 
c:\System\Apps\MediaGallery\MediaGallery.app 
c:\System\Apps\MediaPlayer\MediaPlayer.aif 
c:\System\Apps\MediaPlayer\MediaPlayer.app 
c:\System\Apps\MediaSettings\MediaSettings.aif 
c:\System\Apps\MediaSettings\MediaSettings.app 
c:\System\Apps\Menu\Menu.aif 
c:\System\Apps\Menu\Menu.app 
c:\System\Apps\mmcapp\mmcapp.aif 
c:\System\Apps\mmcapp\mmcapp.app 
c:\System\Apps\MMM\MMM.app 
c:\System\Apps\MmsEditor\MmsEditor.aif 
c:\System\Apps\MmsEditor\MmsEditor.app 
c:\System\Apps\MmsViewer\MmsViewer.aif 
c:\System\Apps\MmsViewer\MmsViewer.app 
c:\System\Apps\MsgMailEditor\MsgMailEditor.aif 
c:\System\Apps\MsgMailEditor\MsgMailEditor.app 
c:\System\Apps\MsgMailViewer\MsgMailViewer.aif 
c:\System\Apps\MsgMailViewer\MsgMailViewer.app 
c:\System\Apps\MusicPlayer\MusicPlayer.aif 
c:\System\Apps\MusicPlayer\MusicPlayer.app 
c:\System\Apps\Notepad\Notepad.aif 
c:\System\Apps\Notepad\Notepad.app 
c:\System\Apps\NpdViewer\NpdViewer.aif 
c:\System\Apps\NpdViewer\NpdViewer.app 
c:\System\Apps\NSmlDMSync\NSmlDMSync.aif 
c:\System\Apps\NSmlDMSync\NSmlDMSync.app 
c:\System\Apps\NSmlDSSync\NSmlDSSync.aif 
c:\System\Apps\NSmlDSSync\NSmlDSSync.app 
c:\System\Apps\Phone\Phone.aif 
c:\System\Apps\Phone\Phone.app 
c:\System\Apps\Phonebook\Phonebook.aif 
c:\System\Apps\Phonebook\Phonebook.app 
c:\System\Apps\Pinboard\Pinboard.aif 
c:\System\Apps\Pinboard\Pinboard.app 
c:\System\Apps\PRESENCE\PRESENCE.aif 
c:\System\Apps\PRESENCE\PRESENCE.APP 
c:\System\Apps\ProfileApp\ProfileApp.aif 
c:\System\Apps\ProfileApp\profileapp.app 
c:\System\Apps\ProvisioningCx\ProvisioningCx.aif 
c:\System\Apps\ProvisioningCx\ProvisioningCx.app 
c:\System\Apps\PSLN\PSLN.aif 
c:\System\Apps\PSLN\PSLN.app 
c:\System\Apps\PushViewer\PushViewer.aif 
c:\System\Apps\PushViewer\PushViewer.app 
c:\System\Apps\Satui\Satui.aif 
c:\System\Apps\Satui\Satui.app 
c:\System\Apps\SchemeApp\SchemeApp.aif 
c:\System\Apps\SchemeApp\SchemeApp.app 
c:\System\Apps\ScreenSaver\ScreenSaver.aif 
c:\System\Apps\ScreenSaver\ScreenSaver.app 
c:\System\Apps\Sdn\Sdn.aif 
c:\System\Apps\Sdn\Sdn.app 
c:\System\Apps\SimDirectory\SimDirectory.aif 
c:\System\Apps\SimDirectory\SimDirectory.app 
c:\System\Apps\SmsEditor\SmsEditor.aif 
c:\System\Apps\SmsEditor\SmsEditor.app 
c:\System\Apps\SmsViewer\SmsViewer.aif 
c:\System\Apps\SmsViewer\SmsViewer.app 
c:\System\Apps\Speeddial\Speeddial.aif 
c:\System\Apps\Speeddial\Speeddial.app 
c:\System\Apps\Startup\Startup.aif 
c:\System\Apps\Startup\Startup.app 
c:\System\Apps\SysAp\SysAp.aif 
c:\System\Apps\SysAp\SysAp.app 
c:\System\Apps\ToDo\ToDo.aif 
c:\System\Apps\ToDo\ToDo.app 
c:\System\Apps\Ussd\Ussd.aif 
c:\System\Apps\Ussd\Ussd.app 
c:\System\Apps\VCommand\VCommand.aif 
c:\System\Apps\VCommand\VCommand.app 
c:\System\Apps\Vm\Vm.aif 
c:\System\Apps\Vm\Vm.app 
c:\System\Apps\Voicerecorder\Voicerecorder.aif 
c:\System\Apps\Voicerecorder\Voicerecorder.app 
c:\System\Apps\WALLETAVMGMT\WALLETAVMGMT.aif 
c:\System\Apps\WALLETAVMGMT\WALLETAVMGMT.APP 
c:\System\Apps\WALLETAVOTA\WALLETAVOTA.aif 
c:\System\Apps\WALLETAVOTA\WALLETAVOTA.APP 
c:\System\Libs\licencemanager20s.dll 
c:\System\Libs\lmpro.r01 
c:\System\Libs\lmpro.r02 
c:\System\Libs\notification.cmd 
c:\System\Libs\softwarecopier200.dll 
c:\System\Libs\ZLIB.DLL


skulls B

اطلاعات:
اين تروجان نيز يكي از انواع SymbOS/Skulls.A ميباشد كه عملا مانند skulls A عمل كرده ولي از فايل هاي مختلفي براي اين كار استفاده ميكند
اين يكي نيز كارهاي قبلي را انجام ميدهد به علاوه اينكه كرم SymbOS/Cabir.B را نيز در گوشي آزاد ميكند.



اين ويروس كبير كه به وسيله skullsB در سيستم رها ميشود خود به خود فعال نيست اما اگر كاربر بر روي icon آن واقع در menu كليك كند اين كرم فعال شده وسعي در آلوده كردن موبايل هاي ديگر ميكند.
فايل اصلي skulls B با نام "Icons.SIS" انتشار ميابد و بر خلاف skulls A هيچ پيامي حين نصب به جز "Installation security warning - unable to verify supplier" نميدهد. البته اين پيغام سيستمي است و به خود برنامه ربطي ندارد.
ايكن هاي استاندارد را با ايكن هاي عمومي و استخوان ضربدر جايگزين ميكند.

Disinfection :
مثل skulls A ولي لازم است فايل هاي ديگري رانيز پاك كنيد:
c:\system\apps\CamTimer\camtimer.app 
c:\system\apps\CamTimer\camtimer.rsc 
c:\system\apps\caribe\caribe.rsc 
c:\system\apps\caribe\caribe.app 
c:\system\apps\caribe\flo.mdl 
c:\system\recogs\flo.mdl 
c:\system\symbiansecuredata\caribesecuritymanager\ caribe.app 
c:\system\symbiansecuredata\caribesecuritymanager\ caribe.rsc 
c:\system\symbiansecuredata\caribesecuritymanager\ camtimer.sis

كبير يك ويروس نه چندان قوي كه از طريق بلوتوث بر روي موبايل هاي سيمبيان وplatform 60 انتشار ميابد.


اين ويروس به وسيله بلوتوث و از طريق message به inbox با نام cabir.sis وارد شده بعد از install شروع بع فعاليت ميكند و به دنبال موبايل جديد براي آلوده كردن سرچ ميكند.وقتي اين كرم وسيله جديدي يافت شروع به فرستادن فايل sis به آن دستگاه ميكند. در اين حالت روي موبايل مورد نظر قفل كرده و به موبايل ديگري توجه نميكند حتي اگر هدف از محدوده دور شود!
در نظر داشته باشيد كه اين ويروس فقط قابل انتشار بر روي موبايل هاي بلوتوث داري ميباشد كه بلوتوث انها در حالت visible mode باشد. پس اگر شما بلوتوث خود را بر روي hidden mode قرار دهيد گوشي شما در مقابل اين ويروس كاملا محافظت خواهد شد.
ولي اگر سيستمي به اين كرم آلوده باشد و حتي بلوتوث آن خاموش باشد يا فرد درصدد خاموش كردن آن باشد اين كرم آن را روشن كرده و سعي در انتشار خود ميكند!
براي خلاصي از اين ويروس كافي است فايل هاي زير را به وسيله يك برنامه مديريت فايل پاك كنيد:

disinfection :
اين فايلها را حذف كنيد :

c:\system\apps\caribe\caribe.rsc 
c:\system\apps\caribe\caribe.app 
c:\system\apps\caribe\flo.mdl 
c:\system\recogs\flo.mdl 
c:\system\symbiansecuredata\caribesecuritymanager\ caribe.app 
c:\system\symbiansecuredata\caribesecuritymanager\ caribe.rsc

Qdial.A

اطلاعات:
اين تروجان ورژن كرك شده برنامه Mosquitos game ميباشد كه بر روي Symbian Series 60 Platform.اجرا ميشود.



اين برنامه از internet و peer-to-peer networks به دست مياد.
وقتي كه موبايل به اين تروجان آلوده شد شروع به فرستادن sms به يك شماره(كه هر بار عوض ميشه) ميكند . محتواي اين پيام چند شماره مخصوص پشت سرهم ميباشد كه ظاهرا براي دريافت جايزه است و ميتواند كاربر را تشويق به فرستادن آنها كند.!
شماره مورد نظر به United Kingdom (UK), Germany, Netherland و Switzerland ميباشد كه باعث افزايش قبض تلفن ميشود.
خوشبختانه اين Trojan قابل انتشار به شماره ارسال شده و يا دفترچه تلفن نمي باشد.

Disinfection :

خيلي راحت از بازي )پشه)Mosquitos خارج شويد و به وسيله manager آنرا uninstall كنيد

Lasco.A : 

اين كرم خيلي شبيه به Cabir H است تنها تفاوت اساسي عبارت است از :
علاوه بر اينكه اين كرم خود را به وسيله بلوتوث منتشر ميكند وقتي كه در يك دستگاه نصب شد خود را درون هر فايل Sis كه پيدا كند نيز قرار ميدهد.
اين كرم با نام velasco.sis به inbox وارد شده و تكرار ميشود.
همانند كبير H استعداد اين كرم در اين است كه وقتي تلفن سرچ شده از محل دور شد سريعا دوباره شروع به سرچ كردن در نقاط نزديكتر ميكند.
اين فايل installation شامل مجموعه فايل هايي است. فايل اصلي قابل اجرا : velasco.ap ----- فايل شناخت سيستم : marcos.mdl
و فايل منبع و داراي ابتكار : velasco.rsc . همچنين فايل SiS داري autostart setting است كه سريعا فايل velasco.app رابعد از نصب اجرا ميكند.
مكانيسم با استعداد در اين كرم باعث شده به صورت سريع و وحشي وار پخش شود.
نكته مهم در مورد اين كرم و كبير H اين است كه افراد به اين كرم ها اهميت نميدهند و در صدد پاك كردن آن از روي سيستم خود نيستند و در همين ايران اين كرم به شدت پخش شده كما اينكه به هر جايي ميري مي بيني يكي هي داره بهت فايل ميفرسته! 

Infection : نحوه آلوده كردن

در اين مكان ها فايل هاي زير به وجود مي آيند.
c:\system\apps\velasco\velasco.rsc 
c:\system\apps\velasco\velasco.app 
c:\system\apps\velasco\flo.mdl

و وقتي كه فايل velasco.app اجرا شد اين فايل ها را ايجاد ميكند.

flo.mdl to c:\system\recogs 
velasco.app to c:\system\symbiansecuredata\velasco\ 
caribe.rsc to c:\system\symbiansecuredata\velasco\ 

خيلي از كساني كه موبايلشان به اين كرم آلوده شده اگه زياد هنر كنند فايل اصلي sis رو پاك ميكنند ولي اين فايل دوباره توسط velasco.app ايجاد ميشود
فايل به وسيله داده هاي توده اي و تركيبات موجود در velasco.app به وجود ميايد.
بعد از اينكه به وسيله كامل اجرا شد به دنبال فايل هاي sis ميگردد و خود را درون آنها مخفي ميكن تا وقتي كه آنها اجرا شدند اين كرم نيز فعال شود! 

Disinfection : simwork or f-secure

CommWarrior.A : 

كارشناسان حفاظت گزارش داده اند كه آنها دارند روي اولين ويروسي كار ميكنند كه قادر به تكثير خود از راه Multimedia Messaging Service (MMS) ميباشد. CommWarrior روي گوشي هاي سيمبيان سري 60 اجرا شده وبه وسيله mms كه شامل عكس صدا تصوير است و از يك گوشي به گوشي ديگر به وسيله email منتقل ميشود. 



ويروس هايي كه به وسيله بلوتوث انتشار ميافتند داراي محدوديت بودند زيرا فقط كافي بود موبايل هدف چند متر دور شود. ولي اين ويروس ميتواند جهاني شود مثل كرم هايي كه توسط email پخش ميشدند. آزمايشگاه f-secure اعلام كرد كه بعد از بررسي كدهاي اين ويروس جزييات بيشتري پست ميكند. اين ويروس تحت مطالعه ميباشد و تا الان 2 ورژن مختلف آن مشاهده شده است.
فايل هاي زير را در موبايل ايجاد ميكند:

\system\apps\CommWarrior\commwarrior.exe 
\system\apps\CommWarrior\commrec.mdl 


\system\updates\commrec.mdl 
\system\updates\commwarrior.exe 
\system\updates\commw.sis
كه شامل text نيز هست. محتواي آن:
CommWarrior v1.0 © 2005 by e10d0r 
OTMOP03KAM HET!

جمله آخر به روسي است و معني آن به فارسي ميشود " مرگ مغزها .... نه!"
مشكل با اين ويروس ميتواند بد تر از اينها هم باشد زيرا به راحتي در اينترنت يافت ميشود و نويسنده آن به نام "e10d0r" حتي يك سايت براي اين مخرب ساخته است!
اين ويروس آب باتري رو ميكشه و شيره Acount رو ميخوره!
Disinfection :
هنوز معلوم نيست و داره بررسي ميشه.

HOAX VIRUS :

ورژن 1 :

To: ALL ORANGE USERS

اگه يك تماس تلفني دريافت كرديد و روي صفحه نمايش نوشته شده بود ACE-? به اين تماس جواب نديد ! وسريعا تلفن رو قطع كنيد
در صورت جواب دادن گوشي شما به اين ويروس آلوده ميشه. اين ويروس همه IMEI و IMSI و همه اطلاعات روي گوشي و سيم كارت رو پاك ميكنه
كه حتي شما نميتونيد به شبكه تلفن وصل شويد (telephone network ) و مجبور به خريد گوشي جديد هستيد. اين اطلاعات به وسيله دو شركت مهم تاييد شده ( nokia and Motorola ) . در آمريكا 3 مليون گوشي به وسيله اين ويروس آلوده شده اند!


ورژن 2 :

Dear all mobile phone's owners

ATTENTION!!! 

NOW THERE IS A VIRUS ON MOBILE PHONE SYSTEM..
اين ويروس نيز توانايي آلوده كردن همه موبايل هاي ديجيتالي رو داره كه توانايي نشان دادن in-coming call دارند.
در اينكي ورژن روي صفحه نمايش نوشته ميشه : "UNAVAILABLE"

اطلاعات : 
Cabir.Dropper يك فايل Symbian installation هستش كه كرم هاي Cabir.B Cabir.C وCabir.D را برروي وسيله نصب ميكند و كنترل برنامه بلوتوث را از دست فرد خارج ميكند نسخه اصلي اين كرم با نام : Norton AntiVirus 2004 Professional.sis انتشار يافته است.

اين كرم از انواع كبير با ديگر نوع ها متفاوت بوده و در جاي مختلفي از فايل هاي سيستمي جاي ميگيرد. اين ويروس برنامه هاي سه گانه common third party applications را remove كرده(اين كار را به وسيله Cabir.D انجام ميدهد) وجاي icon آن در menu خالي ميشود و اسم آن به cabir.b تغيير ميكند. اگر كاربر برروي اين icon خالي كليك كند ويروس cabir.b شروع به انتشار خود به وسيله سيستم بلوتوث ميكند
همچنين Cabir.Dropper سعي در ايجاد يك تركيب كننده autostart ميكند كه وقتي سيستم بوت ميشود Cabir.D شروع به فعاليت ميكند
Disinfection :

براي حذف اين ويروس اين فايل ها را پاك كنيد:

c:\images\ 
c:\sounds\digital 
c:\system\apps 
c:\system\install 
c:\system\recogs 
c:\system\apps\btui 
c:\system\apps\fexplorer 
c:\system\apps\file 
c:\system\apps\freakbtui 
c:\system\apps\smartfileman 
c:\system\apps\smartmovie 
c:\system\apps\systemexplorer 
c:\system\apps\[yuan