Читаем Журнал «4pda» №1 2007 г. полностью

«Обнаружение первой троянской программы для карманных компьютеров подтверждает наши опасения, высказанные недавно в связи с появлением концептуальных вирусов для мобильных телефонов и для операционной системы Windows Mobile, — говорит Евгений Касперский, руководитель антивирусных исследований Лаборатории Касперского. — WinCE Brador.a — полно-ценная вредоносная программа, здесь речь уже не идет о демонстрации вирусописателями своих возможностей, мы можем наблюдать набор деструктивных функций, характерный для большинства бэкдоров».

Это были два классических примера успешной работы кодеров, создавших вирусы на Windows Mobile CE / Windows Mobile 2002 / 2003 / 2003SE. В 2005 г. выходит обновленная версия операционной системы от Microsoft — Windows Mobile 5.0, в которой, как заявлено разработчиками, учтено большинство брешей в системе безопасности. Так-то оно так, старые вирусы уже не запускаются на ней, но, как это ни смешно, старые уязвимости, такие как Remote Code Execution (запуск кода на исполнение на удаленном устройстве), остались без должного внимания Microsoft. Таким образом можно прислать на КПК вредоносный код, который будет выполнен в «тихом» режиме, без информирования об этом владельца устройства. Компания Symantec, и в частности ее сотрудник Коллин Муллинер, провела специальное исследование, направленное на анализ уязвимостей Windows Mobile 5.0, и определила основные направления будущих атак — как дистанционных, так и основанных на манипуляциях с уровнями безопасности приложений (в Windows Mobile 5.0 применяется система сертификации заслуживающих доверия (trusted) приложений в противовес неблагонадежным источникам). Как утверждает источник, Symantec не собирается подробно распространяться по поводу найденных «дырок» в системе, но планирует распространить свои рекомендации относительно общей архитектуры защиты операционной системы и мер, которые пользователи могут принять для того, чтобы обезопасить себя от действий взломщиков.

Достаточно упомянуть, что вредоносный код может быть встроен в MMS и активирован простым прочтением данного сообщения ничего не подозревающим пользователем. Февраль 2006 г. принес очередные пополнения в коллекцию антивирусных баз. Начало было положено неким объединением программистов, заявленным как MARA (Mobile Antivirus Researchers Associations — Ассоциация исследователей в области мобильной антивирусной защиты). MARA распространила пресс-релиз, в котором речь шла о новом редком концептуальном вирусе, написанном под Windows и Windows Mobile одновременно. Кроссплатформенный вирус некоторый период времени удерживался в изоляции от представительств антивирусных компаний из-за занятия такой позиции MARA. Интерес стал вызывать состав этой ассоциации, что дало еще большее число поводов для раздумий. В нее входило порядка 10 членов, не имеющих контактных адресов. Самым известным из всей компании был Сайрус Пейкари, генеральный директор AirScanner — производителя антивирусного программного обеспечения для мобильных телефонов. Пейкари стал известен после публикации исходных кодов вируса WinCE. Duts и соответствующего анализа качества их исполнения. Статья-анализ была написана им в соавторстве с членом группы 29A неким Ratter, предоставившим авторские исходники Duts. По сути дела, эта статья была готовым руководством для написания вирусов на Windows Mobile.

8 марта 2006 г. Сайрус Пейкари публикует очередной труд, анализируя тот самый кроссплатформенный вирус, упомянутый в предыдущем абзаце, называя его Crossover. Часть вторая пособия для написания вирусов увидела свет, а сайт MARA приказал долго жить. Получив образцы этого вируса, антивирусные компании приступают к включению в базы процедур обнаружения и деактивации вируса, получившего на этот раз имя CXOver. A.

Этот вирус при своем запуске проверяет операционную систему и тут возможны два варианта:

При запуске на настольной версии Windows он ищет через доступные ActiveSync мобильные устройства и копирует себя на них.

При запуске на Windows Mobile происходит такой же процесс, но в обратную сторону, с последующим копированием на персональный компьютер.

В передаче принимают участие компьютеры с установленной платформой. NET. Действия вируса CXOver. A проявляются на мобильном устройстве и выражаются в удалении пользовательских файлов из папки My Documents.