Коллектив 4PDA - Журнал «4pda» №1 2007 г.

В случае положительного ответа Duts внедряется в подходящие по формату и размеру (более 4 Kb) исполняемые файлы в корневой директории устройства (My device). В процессе заражения вирус записывает себя в конец целевого файла и модифицирует его точку входа. Во избежание повторного заражения такие файлы получают метку «atar» в одном из неиспользуемых полей. Каких-либо деструктивных функций в Duts не обнаружено.

По сути дела, Duts был первой ласточкой, испытывающей нервы руководителей антивирусных компаний: то, что вирус был рассчитан на неопытного пользователя или на человека с явно рассеянным вниманием, было видно сразу. Обо всех своих действиях Duts информировал владельца зараженной машины диалоговым окном, в котором, как ни странно, был пункт отказа от дальнейших действий вируса. Это очень напоминало старую карикатуру на Internet Explorer 5.0, в которой в диалоговом окне предлагалось выбрать — загружать опасный «троян» на компьютер или нет.

Если Duts был «шалостью» вирусописателей на Windows Mobile, то следующий образец вредоносного программного обеспечения вызывает намного больше негативных последствий для КПК и смартфонов. В том же 2004 г. Лаборатория Касперского сообщает об обнаружении Backdoor.WinCE Brador.a — первой программы-бэкдора для карманных персональных компьютеров PocketPC на базе Windows CE / Windows Mobile 2002 / 2003 / 2003SE WinCE Brador.a — это утилита удаленного администрирования размером 5632 байт (ARM assembller), поражающая КПК на базе Windows CE и Windows Mobile 2002 / 2003 / 2003SE. После запуска бэкдор создает свой файл с именем svchost.exe в каталоге запуска Windows / System, таким образом получая полное управление системой при каждом включении КПК. Бэкдор определяет IP-адрес зараженной системы и отправляет его по электронной почте автору, информируя его о том, что КПК находится в сети и бэкдор активен. После этого он открывает порт 44299 для приема различных команд.

Основная функция WinCE Brador.a — открытие портов на зараженных машинах с целью получения злоумышленниками доступа к КПК и полного контроля над мобильным устройством. Программа обладает функцией автозагрузки и удаленного управления. Кроме того, она может добавлять или удалять файлы на жестком диске, а также пересылать их злоумышленнику. В бэкдоре не предусмотрена функция самораспространения, и он может попасть на КПК пользователя под видом другой неопасной программы по стандартной для троянских программ схеме: зараженные вложения в электронных письмах и загрузка через сеть Интернет, а также при передаче данных с настольного компьютера. По данным аналитиков Лаборатории Касперского, автором Brador может быть кодер из России: информация о появлении программы поступила с сервера электронной почты, зарегистрированного в России, и текст сообщения был составлен на русском языке. Еще одним усугубляющим фактором является коммерческий вариант программы, то есть возможность развития программы по принципу Donationware («создание продукта на средства пожертвований»).

Существует модификация Backdoor. WinCE Brador. b, которая после копирования версии в каталог автозагрузки сканирует Windows Socket Interface на предмет совместимости с версией 1.1 и выше. При удовлетворительном ответе на запрос она открывает сокет и переправляет его на порт 2989 (BAD в таблице ASCII). После этого программа делает попытку соединиться с портом 25 (SMTP-сервером исходящей почты) сервера 194.67.23.111 и отсылает информацию о зараженной системе автору вируса на почтовый ящик brokensword@ukr.net. Отправляя исходящую почту, программа задействует собственный SMTP-клиент без предварительной проверки данных на ошибочность.

«Обнаружение первой троянской программы для карманных компьютеров подтверждает наши опасения, высказанные недавно в связи с появлением концептуальных вирусов для мобильных телефонов и для операционной системы Windows Mobile, — говорит Евгений Касперский, руководитель антивирусных исследований Лаборатории Касперского. — WinCE Brador.a — полно-ценная вредоносная программа, здесь речь уже не идет о демонстрации вирусописателями своих возможностей, мы можем наблюдать набор деструктивных функций, характерный для большинства бэкдоров».

Это были два классических примера успешной работы кодеров, создавших вирусы на Windows Mobile CE / Windows Mobile 2002 / 2003 / 2003SE. В 2005 г. выходит обновленная версия операционной системы от Microsoft — Windows Mobile 5.0, в которой, как заявлено разработчиками, учтено большинство брешей в системе безопасности. Так-то оно так, старые вирусы уже не запускаются на ней, но, как это ни смешно, старые уязвимости, такие как Remote Code Execution (запуск кода на исполнение на удаленном устройстве), остались без должного внимания Microsoft. Таким образом можно прислать на КПК вредоносный код, который будет выполнен в «тихом» режиме, без информирования об этом владельца устройства. Компания Symantec, и в частности ее сотрудник Коллин Муллинер, провела специальное исследование, направленное на анализ уязвимостей Windows Mobile 5.0, и определила основные направления будущих атак — как дистанционных, так и основанных на манипуляциях с уровнями безопасности приложений (в Windows Mobile 5.0 применяется система сертификации заслуживающих доверия (trusted) приложений в противовес неблагонадежным источникам). Как утверждает источник, Symantec не собирается подробно распространяться по поводу найденных «дырок» в системе, но планирует распространить свои рекомендации относительно общей архитектуры защиты операционной системы и мер, которые пользователи могут принять для того, чтобы обезопасить себя от действий взломщиков.