Мобильные муки

От эпидемии распространяющегося через MMS-сообщения опасного вируса миллионы владельцев телефонов под управлением Nokia Series 60 спасла чистая случайность. Пронесет ли в следующий раз?

Два месяца нового года не принесли с собой сколь-нибудь заметных вирусных эпидемий на персонально-компьютерной сцене, зато в сегменте мобильных телефонов антивирусные компании вновь, в который уже раз ставят всех на уши. Очередной причиной для беспокойства стала разработка анонимного вирусописаки под названием CommWarrior. Анализ кода новомодной поделки ещё не завершён, поэтому о многих её свойствах можно говорить лишь предположительно, но и этого вполне достаточно чтобы понять, что тревога поднята не понапрасну. Если быть совсем честным, нам совершенно случайно повезло: сложись обстоятельства иначе, и жертвами CommWarrior могли стать миллионы человек по всему миру.

Согласно результатам предварительно анализа, проведённого, в частности, специалистами компаний F-Secure и Symantec, CommWarrior представляет собой небольшую программу для цифровых устройств, работающих под управлением операционной системы Symbian OS с интерфейсом Nokia Series 60. В первую очередь, конечно, это телефоны самой Nokia, но вирусологи не исключают и возможности заражения телефонов и смартфонов других производителей (Siemens, Panasonic, Sendo). CommWarrior замечателен тем, что, наряду с уже обычным Bluetooth, использует доселе незнакомый вирусописателям способ репликации - MMS-сообщения. Именно в виде MMS-ки с прикреплённым файлом случайного названия он и попадает на телефон новой жертвы чаще всего. Текст сообщения варьируется от случая к случаю, но, в общем, посредством его жертву пытаются принудить инсталлировать принятый вместе с сообщением файл: вирус может выдавать себя за обновление для операционной системы, коллекцию порнофотографий, антивирус Нортона, 3D-ускоритель для игр и даже пресловутый "крякер интернета" для получения бесплатного доступа к глобальной сети. Если получатель сообщения даёт своё согласие на инсталляцию, CommWarrior распределяет по системным папкам телефона исполняемые файлы и - конечно же, ничего из обещанного не выполнив - принимается за дальнейшую репликацию. Он изучает адресную книгу и рассылает свои MMS-копии по случайно выбранным из неё номерам.

К счастью для всех нас алгоритм CommWarrior оказался не без изъянов. Запустившись на очередном телефоне, вирус по непонятной пока причине не пытается разослать себя всем и сразу, а действует с некоторой (от 15 минут до двух часов) задержкой между каждой отосланной копией. Кроме того, он не отличает номера мобильных аппаратов от номеров стационарных, так что часть копий уходит "в пустоту". Именно две этих мелочи и спасли мир от глобальной эпидемии (как выясняется сейчас, первые инциденты были зафиксированы ещё в январе). Кое-кто говорит, что нужно быть полным идиотом, чтобы согласиться на установку принятого от незнакомца файла, но ведь MMS с CommWarrior приходят не от кого-то, а от ваших друзей! Чем обернулась бы такая эпидемия представить несложно. Каждое 13-е число CommWarrior обнуляет память заражённых телефонов. Но что страшнее, рассылка вирусных копий может влететь ничего не подозревающей жертве в копеечку, ведь отправка MMS-сообщений недёшева. Наконец, радиус действия MMS-вируса не ограничен, в отличие от его предшественников, использовавших для распространения только Bluetooth.

С CommWarrior связаны два интересных момента. Во-первых, анализ вирусного кода (на текущий момент зафиксированы две различных версии вируса, отличающихся друг от друга только длиной файла) выявил текстовую строчку "OTMOP03KAM HET!", однозначно определяющую происхождение программы (впрочем, о нём можно было догадаться и по "крякеру интернета" - чисто российскому феномену конца 90-ых). Повод для гордости, если хотите: предыдущий нашумевший мобильный вирус Cabir тоже с российскими корнями. Впрочем, второй момент интересней: оцените, как история Microsoft и Microsoft Windows повторяется с Nokia и Series 60. Сегодня последняя - фактический лидер на рынке мобильной телефонии, и стоило ей занять лидирующую позицию, как злоумышленники избрали её мишенью для своих нападок. Отныне, как и пользователям Windows, спокойная жизнь пользователям устройств под Series 60 уже не грозит. Необходимо постоянно бдить, держа в выключенном или "невидимом" состоянии Bluetooth, контролируя, что поступает через MMS, проверяя и перепроверяя новые программы, скачанные из Сети. Какую лазейку вирусописатели задействуют следующей?