Помощь - Поиск - Пользователи - Календарь
Полная версия этой страницы: Вирусы
Nokia Soft | Программы для наших смартфонов Nokia > Обсуждение смартфонов на Symbian OS 6/7/8.x и приложений для них > Проблемы
Flib
Вирус Cabir

Первый сетевой червь, распространяющийся через протокол Bluetooth и заражающий мобильные телефоны, работающие под управлением OS Symbian.

Червь представляет собой файл формата SIS, caribe.sis. Размер файла - 15092 байт (или 15104 байт).

Данный файл содержит в себе несколько объектов:
caribe.app: размер 11932 байт (или 11944 байт)
flo.mdl: размер 2544 байт
caribe.rsc: размер 44 байта

Инсталляция
При запуске червь выводит на экран сообщение "Caribe" (или "Caribe - VZ/29a"):

И затем инсталлирует себя в различные каталоги:

с:\system\apps\caribe\caribe.app
с:\system\apps\caribe\flo.mdl
с:\system\apps\caribe\caribe.rsc

C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\ CARIBE.SIS
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\ CARIBE.APP
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\ CARIBE.RSC
C:\SYSTEM\RECOGS\FLO.MDLКаталог "SYMBIANSECUREDATA", создаваемый червем, является скрытым и не виден пользователю зараженного телефона.

В случае удаления файлов червя из каталога "APPS", червь будет продолжать свою работу в системе.

Размножение
При каждом включении зараженного телефона червь получает управление и начинает сканировать список активных Bluetooth-соединений. Затем червь выбирает первое доступное соединение из списка и пытается передать туда свой основной файл "caribe.sis". В этом случае у пользователя принимающего телефона на экран выводится сообщение:

В случае, если пользователь подтвердит прием файла, то его телефон примет зараженный файл и предложит запустить его на исполнение (зависит от модели телефона):


Удаление червя
Нужно лишь удалить его файлы из папок:
c:/system/symbiansecuredata/caribesecuritymanager/
c:/system/recogs/ и
e:/system/apps/caribe/ (буква диска здесь зависит от того, какое место вы выбрали для установки: карта памяти или основная память; в данном случае - карта памяти)

Существует программа лечения вируса от Лаборатории Касперского
DeCabir
Скачать

Существует антивирус, который может помочь
SimWorks Antivirus
Скачать

Вирус Skulls

Троянская программа, заражающая мобильные телефоны, работающие под управлением OS Symbian.
Троянец представляет собой файл формата SIS, возможное имя файла: "extended theme.sis". Размер файла - 1192117 байт.

При инсталляции программа создает в телефоне следующие информационные файлы и файлы приложений:

.\System\Apps\About\About.aif
.\System\Apps\About\About.app
.\System\Apps\AppInst\AppInst.aif
.\System\Apps\AppInst\Appinst.app
.\System\Apps\AppMngr\AppMngr.aif
.\System\Apps\AppMngr\Appmngr.app
.\System\Apps\Autolock\Autolock.aif
.\System\Apps\Autolock\Autolock.app
.\System\Apps\Browser\Browser.aif
.\System\Apps\Browser\Browser.app
.\System\Apps\BtUi\BtUi.aif
.\System\Apps\BtUi\BtUi.app
.\System\Apps\bva\bva.aif
.\System\Apps\bva\bva.app
.\System\Apps\Calcsoft\Calcsoft.aif
.\System\Apps\Calcsoft\Calcsoft.app
.\System\Apps\Calendar\Calendar.aif
.\System\Apps\Calendar\Calendar.app
.\System\Apps\Camcorder\Camcorder.aif
.\System\Apps\Camcorder\Camcorder.app
.\System\Apps\CbsUiApp\CbsUiApp.aif
.\System\Apps\CbsUiApp\CbsUiApp.app
.\System\Apps\CERTSAVER\CERTSAVER.aif
.\System\Apps\CERTSAVER\CERTSAVER.APP
.\System\Apps\Chat\Chat.aif
.\System\Apps\Chat\Chat.app
.\System\Apps\ClockApp\ClockApp.aif
.\System\Apps\ClockApp\ClockApp.app
.\System\Apps\CodViewer\CodViewer.aif
.\System\Apps\CodViewer\CodViewer.app
.\System\Apps\ConnectionMonitorUi\ConnectionMonito rUi.aif
.\System\Apps\ConnectionMonitorUi\ConnectionMonito rUi.app
.\System\Apps\Converter\Converter.aif
.\System\Apps\Converter\converter.app
.\System\Apps\cshelp\cshelp.aif
.\System\Apps\cshelp\cshelp.app
.\System\Apps\DdViewer\DdViewer.aif
.\System\Apps\DdViewer\DdViewer.app
.\System\Apps\Dictionary\Dictionary.aif
.\System\Apps\Dictionary\dictionary.app
.\System\Apps\FileManager\FileManager.aif
.\System\Apps\FileManager\FileManager.app
.\System\Apps\GS\GS.aif
.\System\Apps\GS\gs.app
.\System\Apps\ImageViewer\ImageViewer.aif
.\System\Apps\ImageViewer\ImageViewer.app
.\System\Apps\location\location.aif
.\System\Apps\location\location.app
.\System\Apps\Logs\Logs.aif
.\System\Apps\Logs\Logs.app
.\System\Apps\mce\mce.aif
.\System\Apps\mce\mce.app
.\System\Apps\MediaGallery\MediaGallery.aif
.\System\Apps\MediaGallery\MediaGallery.app
.\System\Apps\MediaPlayer\MediaPlayer.aif
.\System\Apps\MediaPlayer\MediaPlayer.app
.\System\Apps\MediaSettings\MediaSettings.aif
.\System\Apps\MediaSettings\MediaSettings.app
.\System\Apps\Menu\Menu.aif
.\System\Apps\Menu\Menu.app
.\System\Apps\mmcapp\mmcapp.aif
.\System\Apps\mmcapp\mmcapp.app
.\System\Apps\MMM\MMM.app
.\System\Apps\MmsEditor\MmsEditor.aif
.\System\Apps\MmsEditor\MmsEditor.app
.\System\Apps\MmsViewer\MmsViewer.aif
.\System\Apps\MmsViewer\MmsViewer.app
.\System\Apps\MsgMailEditor\MsgMailEditor.aif
.\System\Apps\MsgMailEditor\MsgMailEditor.app
.\System\Apps\MsgMailViewer\MsgMailViewer.aif
.\System\Apps\MsgMailViewer\MsgMailViewer.app
.\System\Apps\MusicPlayer\MusicPlayer.aif
.\System\Apps\MusicPlayer\MusicPlayer.app
.\System\Apps\Notepad\Notepad.aif
.\System\Apps\Notepad\Notepad.app
.\System\Apps\NpdViewer\NpdViewer.aif
.\System\Apps\NpdViewer\NpdViewer.app
.\System\Apps\NSmlDMSync\NSmlDMSync.aif
.\System\Apps\NSmlDMSync\NSmlDMSync.app
.\System\Apps\NSmlDSSync\NSmlDSSync.aif
.\System\Apps\NSmlDSSync\NSmlDSSync.app
.\System\Apps\Phone\Phone.aif
.\System\Apps\Phone\Phone.app
.\System\Apps\Phonebook\Phonebook.aif
.\System\Apps\Phonebook\Phonebook.app
.\System\Apps\Pinboard\Pinboard.aif
.\System\Apps\Pinboard\Pinboard.app
.\System\Apps\PRESENCE\PRESENCE.aif
.\System\Apps\PRESENCE\PRESENCE.APP
.\System\Apps\ProfileApp\ProfileApp.aif
.\System\Apps\ProfileApp\profileapp.app
.\System\Apps\ProvisioningCx\ProvisioningCx.aif
.\System\Apps\ProvisioningCx\ProvisioningCx.app
.\System\Apps\PSLN\PSLN.aif
.\System\Apps\PSLN\PSLN.app
.\System\Apps\PushViewer\PushViewer.aif
.\System\Apps\PushViewer\PushViewer.app
.\System\Apps\Satui\Satui.aif
.\System\Apps\Satui\Satui.app
.\System\Apps\SchemeApp\SchemeApp.aif
.\System\Apps\SchemeApp\SchemeApp.app
.\System\Apps\ScreenSaver\ScreenSaver.aif
.\System\Apps\ScreenSaver\ScreenSaver.app
.\System\Apps\Sdn\Sdn.aif
.\System\Apps\Sdn\Sdn.app
.\System\Apps\SimDirectory\SimDirectory.aif
.\System\Apps\SimDirectory\SimDirectory.app
.\System\Apps\SmsEditor\SmsEditor.aif
.\System\Apps\SmsEditor\SmsEditor.app
.\System\Apps\SmsViewer\SmsViewer.aif
.\System\Apps\SmsViewer\SmsViewer.app
.\System\Apps\Speeddial\Speeddial.aif
.\System\Apps\Speeddial\Speeddial.app
.\System\Apps\Startup\Startup.aif
.\System\Apps\Startup\Startup.app
.\System\Apps\SysAp\SysAp.aif
.\System\Apps\SysAp\SysAp.app
.\System\Apps\ToDo\ToDo.aif
.\System\Apps\ToDo\ToDo.app
.\System\Apps\Ussd\Ussd.aif
.\System\Apps\Ussd\Ussd.app
.\System\Apps\VCommand\VCommand.aif
.\System\Apps\VCommand\VCommand.app
.\System\Apps\Vm\Vm.aif
.\System\Apps\Vm\Vm.app
.\System\Apps\Voicerecorder\Voicerecorder.aif
.\System\Apps\Voicerecorder\Voicerecorder.app
.\System\Apps\WALLETAVMGMT\WALLETAVMGMT.aif
.\System\Apps\WALLETAVMGMT\WALLETAVMGMT.APP
.\System\Apps\WALLETAVOTA\WALLETAVOTA.aif
.\System\Apps\WALLETAVOTA\WALLETAVOTA.APP
Также троянец создает следующие файлы:
.\System\Libs\licencemanager20s.dll
.\System\Libs\lmpro.r01
.\System\Libs\lmpro.r02
.\System\Libs\notification.cmd
.\System\Libs\softwarecopier200.dll
.\System\Libs\ZLIB.DLL

Файлы приложений (app), созданные троянцем, являются обычными приложениями платформы Symbian и не содержат вредоносного кода. Вредоносными являются aif-файлы, которые создают иконки приложений в виде черепа и не дают доступ к указанным приложениям.

Таким образом, все приложения телефона перестают функционировать. После заражения телефон можно использовать только по его прямому назначению: звонить и принимать вызовы, то есть просто разговаривать. Все остальные функции (SMS, MMS, камера, органайзер и т. д.) перестают работать.

Троянец заменяет иконки всех приложений в телефоне на свою собственную иконку:




инструкция по его удалению:
- ни в коем случае не перезагружайте
устройство!
- удалите файлы Appinst.aif и
AppInst.app
затем надо установить антивирус F-Secure Mobile Anti-Virus для Nokia 7650, 3650, 3660, N-Gage или F-Secure Mobile Anti-Virus для Nokia 6600, 6670, 7610 ,6630,6260.

Существует ещё антивирус, который может помочь
SimWorks Antivirus
Скачать

Вирус Mosquit

Основной причиной, по которой данная игра

была классифицирована как троянец, является наличие кода для скрытой рассылки SMS на определенные в коде номера без ведома пользователя. Это неприятное свойство было обнаружено во взломанных версиях игры.

При запуске игры появляется следующее изображение:

Чуть позже выяснилось, что в Mosquito нет никакого трояна. "Троян" на деле оказался всего лишь ненадёжной защитой от копирования. Поэтому был развеян слух, что эта особенность специфична для взломанных версии продукта - эта скрытая функция была встроена в старые версии программ (в новых версиях она упразднена), а также осталась во взломанных.

Программа представляет собой инсталляционный файл SIS размером около 140 КБ. В оригинальном виде имя файла - <Mosquitos Cracked by Soddom.sis> или <Mosquitos Cracked by Soddom V2.0.sis>, но в интернете также встречаются дистрибутивы с другими именами.

Программа широко распространена на общедоступных download-сайты

В установленном виде имеет имя <Mosquitos.app> и размер 261,6 КБ.

инструкцией по его удалению:
Существует антивирус, который может помочь
SimWorks Antivirus
Скачать

Вирус Comwar

Первый червь для сотовых телефонов, размножающийся при помощи MMS.

Работает на телефонах под управлением ОС Symbian Series 60.

Исполняемый файл червя упакован в установочный архив Symbian (SIS). Размер архива — 27-30КБ. Название файла может варьироваться; в частности, передавая себя по Bluetooth, червь генерирует произвольное имя файла длиной 8 символов, например bg82o_s1.sis.

Инсталляция
После запуска архив распаковывается в \system\apps\CommWarrior\:

\system\apps\CommWarrior\commwarrior.exe
\system\apps\CommWarrior\commrec.mdl
Запущенный файл commwarrior.exe в свою очередь копирует эти файлы и оригинальный архив в директорию \system\updates\:

\system\updates\commwarrior.exe
\system\updates\commrec.mdl
\system\updates\commw.sis
Размножение
Червь распространяется двумя способами: по Bluetooth и по MMS.

После запуска червь инициирует поиск доступных через Bluetooth устройств и передает на них зараженный SIS-архив с произвольным именем. Для его открытия (и заражения телефона) необходимо несколько раз подтвердить прием файла.

Помимо этого, червь рассылает себя по контактам адресной книги при помощи MMS-сообщений. Тема и текст сообщений варьируются:

Norton AntiVirus
Released now for mobile, install it!
3DGame
3DGame from me. It is FREE !
3DNow!
3DNow!™ mobile emulator for *GAMES*.
Audio driver
Live3D driver with polyphonic virtual speakers!
CheckDisk
*FREE* CheckDisk for SymbianOS released!MobiComm
Desktop manager
Official Symbian desctop manager.
Display driver
Real True Color mobile display driver!
Dr.Web
New Dr.Web antivirus for Symbian OS. Try it!
Free SEX!
Free *SEX* software for you!
Happy Birthday!
Happy Birthday! It is present for you!
Internet Accelerator
Internet accelerator, SSL security update #7.
Internet Cracker
It is *EASY* to *CRACK* provider accounts!
MS-DOS
MS-DOS emulator for SymbvianOS. Nokia series 60 only. Try it!
MatrixRemover
Matrix has you. Remove matrix!
Nokia ringtoner
Nokia RingtoneManager for all models.
PocketPCemu
PocketPC *REAL* emulator for Symbvian OS! Nokia only.
Porno images
Porno images collection with nice viewer!
PowerSave Inspector
Save you battery and *MONEY*!
Security update #12
Significant security update. See www.symbian.com
Symbian security update
See security news at www.symbian.com
SymbianOS update
OS service pack #1 from Symbian inc.
Virtual SEX
Virtual SEX mobile engine from Russian hackers!
WWW Cracker
Helps to *CRACK* WWW sites like hotmail.com
Червь содержит в себе текст:

CommWarrior v1.0b © 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute
it in it's original unmodified form.
OTMOP03KAM HET!

Удаление
Просто удалите все файлы вируса с помощью файл-менеджера.
\system\apps\CommWarrior\commwarrior.exe
\system\apps\CommWarrior\commrec.mdl
\system\updates\commrec.mdl
\system\updates\commwarrior.exe
\system\updates\commw.sis

Вирус Locknut
Троянская программа, представляющая собой приложение для операционной системы Symbian — SIS-архив размером 1-2КБ. При запуске архива его содержимое распаковывается в папку "\system\apps\gavno\":

gavno.app
gavno.rsc
gavno_caption.rsc
Все файлы (включая файл приложения gavno.app) содержат только текст на русском языке и не содержат соответствующей своему формату служебной информации.

При попытке запустить файл gavno.app, не являющийся на самом деле исполняемым, происходит ошибка операционной системы, в связи с которой устройство под управлением этой ОС может утратить часть своей функциональности.


Вредоносная программа для смартфонов Hobble.
Распространяется в виде архива для операционной системы Symbian — SIS-архива. Размер файла архива — 36470 байт. Файл маскируется под антивирус Symantec (имя файла — symantec.sis).

Программа работает только в Symbian OS версии 6.1.
После запуска создает следующие файлы:

\apps\FExplorer\FExplorer.aif
\apps\FExplorer\FExplorer.app
\apps\FExplorer\FExplorer.mbm
\apps\FExplorer\FExplorer.rsc
\apps\FExplorer\FExplorer_CAPTION.rsC
\apps\FExplorer\flo.mdl
\system\recogs\jjlas.mdl
\system\recogs\RecAppForge.mdl
\system\recogs\UltraMP3Rec.mdl
\system\recogs\recAutoExec.mdl

Действия
При запуске архива SIS в систему устанавливается FExplorer.app — поврежденное приложение FExplorer. После первой перезагрузки зараженного смартфона операционная система пытается запустить это приложение, что вызывает нарушение работы устройства. Заблокированными оказываются функции смартфона (запуск приложений и др.). На возможность приема и осуществления звонков вредоносная программа не влияет.


Вирус Lasco
Помимо функции BlueTooth-червя, вирус также содержит функцию заражения файлов. При запуске он сканирует диск в поисках SIS-архивов, а найденные файлы пытается заражать посредством внедрения своего кода внутрь архива.

Вирус представлен в двух вариантах: приложение для платформы Win32, заражающее найденные SIS-файлы, и приложение для платформы Symbian.

velasco.sis, размер 15750 - основной файл вируса
sisinfect.exe, размер 69632 - инфектор, работающий в Windows. Сканирует локальные диски в поисках SIS-архивов, найденные пытается заражать, внедряя в них содержимое velasco.sis. marcos.sis, размер 1579 - содержит модуль marco.mdl, устанавливающий velasco.sis в автозагрузку системы Symbian.
Вирусные файлы располагаются в следующей директории мобильного устройства:
C:\\SYSTEM\\SYMBIANSECUREDATA\\VELASCO\\

Файл автозагрузки находится здесь:
C:\\SYSTEM\\RECOGS\\MARCOS.MDL

Ozicom 7650 Hebrew v1.03
Пока самый мощный вирус! Ozicom можно спокойно слать по электронной почте и конечно по 'зубу'. Вирь хоть и старый, но неизвестный антивирусной науке! После установки на девайс, почти у всех заводских прог иконки становяться как у 7650 и название их в квадратиках. Попасть в эти прогу уже нельзя (за исключением "режимов", родного браузера). Для активации главной фишки вируса, нужен рестарт девайса! После этого, взамен иконок от 7650 и название тех прог в квадратиках, появляються битые иконки (на v6.1 это не происходит) и названия в квадратиках, заменяются названиями на еврейском языке. Любители кода *#7370# сразу начнут его моментально набирать... Когда девайс обратно включиться, на некоторое время у юзера ужас появиться в глазах и руки затрясуться! Девайс не вернеться к заводским настройкам и все останеться как было! Сразу хочу сказать, многих самых продвинутых юзеров на "очко" сажал этот вирь.

Удаление вируса Ozicom 7650 Hebrew:
Удаляем из папки E:/system/apps или C:/system/apps все папки имеющие в названии значок _ (_аppini и т.п.) После этого заходим в стандартный диспетчер приложений и удаляем саму программу.

Список Вредных программ.[Черный Список]

Вашему вниманию представляется список вредных для телефона программ.

1. WildSkin (WildSkinz, WildSkins) - эта программа делает вот что - портит файл GZ - настройки телефона.И не позволяет входит в Настройки-Телефон-Общие. А в общих как раз и выставляется язык ввода, за выставление которого и отвечает кнопка ABC ...

2. Theft Alarm - После предварительного теста её возможностей (функция Test), накрепко повесает телефон.Телефон показывает только белый экран с логотипом Nokia; хард резеты, безопасный режим, вытаскивание аккумулятора не помогают.

3. JJL keylock - Может совем убить телефон или при включении телефона через раз будет выдавать main - закрыто, затем Ошибка при тестировании.

4. PhotoID - Вызывает ошибки в файлах загрузки, после установки телефон выдает ошибку appinstallationerror ,при запросе кода выскакивает ошибка, при попытке избавится от нее выдает SYS ERROR и меню вообще отрубается, возможго только звонить!

5. Сellhalma - телефон повисает при её установке.Поможет только вынимание аккамулятора,потом будет выдовать ошибки : system error, contact the retailer

6. AutoPilot - При включении питания появляется "Прилож. закр. Main!"Ее компонент -KM Autostart- некорректно работает.

7. MultLex Eng-Rus-Eng (Gold) - При первом запуске просит сделать перезагрузку, если ее сделаете, то все...ваш телефон не труп, но калека.Если сделать как он просит перезагрузку, то все, считаейте что с галерей вам больше не судьба дружить.Он грохает именно ее.

8. sLauncher - Если она установлена на карте, то эту карту в другой телефон, где этой программы нет, уже не вставить.

9. Dictaphone - Если поставить её в автозагрузку и назначить hotkey на запись, то тогда надо следить, чтобы зтот Hotkey не совподал с цыфрами pin'a. Если совпадение имеет место быть, то тогда нет возможности нажать эту кнопку для ввода пина.

10. ExpenseReport и Units - Они ставятся с пакетом других программ,хотите вы этого или нет. Ставят около 1 mb. или более в память.После чего телефон работает словно убитый или вообще что-то там себе думает по 2-3 минуты не реагируя.

11. KeyStickLauncher - После удаления пропадает стандартный шрифт, остаются только цифры.Поможет только хар-резет

12. PowerLock.v1.0 - Вначале начинает работает нормально через некоторое время происходит мощный сбой системы можно только звонить и принимать звонки

13. WildPalm Ringtone Studio 1.4.1 - Перестает работать встроенный WAP браузер.Если попытатся соединение устанавливать, начьнет ругаться на то, что Reply - unknown.

14. WildPalm TraySMS 1.0 - Не удаляется (писшет Removal failed!). При попытке удаления запущенных процессы телефон повисает.

15. Phone Secure - После установки файл появляется, а потом быстро исчезает и телефон выключается и потом больше не включается.

16. miniGPS- После утсановки телефон начинает тормозить и очень медлаенно работать.При попытки удаления телефон повисает и выключается только если вынуть батарею

17. ReadM - Сначало нормально.Но потом телефон может повиснуть и поможет только вынимание батареи.Так же выдает ошибку "Прилож. закр. Main!"

18. Icons v1.00 - После установки телефон начинает
дико тормозить после перезагрузки можно было только звонить и принимать звонки, на остальные кнопки и джойстик телефон никак не реагирует.

19. MobileSpeak 1.1 - При включении телефон бесконечно перезагружается. Вытащив карту памяти. Телефон пишет, "системная ошибка." Вставив карту памяти программы не запускаются.

20. MCAfee virusscan beta - Телефон перестает реагировать на какие-либо дейсивия, кнопка меню вообще не открывалается, с трудом можно куда-то дозвониться и принять вызов.

21. Arabic - Посел перезагрузки,когда надо вводить pin то при нажатии на кнопки на экране ничего не появляется(нет звёздочек) и подсветка не гаснет, сами кнопки работают(слышно как пикают)

22. Videotone - После ее удаления телефон перестает снимать видео.


Программы,приведенные выше,могут вызвать проблемы не у всех.У некоторых они работают нормально.Но лучше избегать их установки.
Artishock
о-о-о, откуда ифа?
Спасибо огромное.
Flib
Знание сила 34.gif\
Тем более,для любимого портала ни чё не жалко 117.gif
Djara
Trojan-SMS.SymbOS.Viver.a
Обнаружен 15 мая 2007:
Троянская программа для сматфонов, работающих под управлением ОС Symbian.
Представляет собой установочный SIS-архив. Собственной процедуры распространения не имеет.
Существует два варианта реализации файла данного вируса. Первый из них, RulesViver.sis, имеет размер 42962 байта. Второй — NetCompressor.sis — 10624 байта.

Для заражения устройства требуется, чтобы пользователь самостоятельно загрузил вредоносную программу из Интернета или по протоколу Bluetooth и подтвердил ее инсталляцию, при этом смарт предупреждает Вас, что у программы отсутствует сертификат, невозможно проверить поставщика. При установке троянца на экран выдается одно из сообщений: Установить "RulesViver"? (Да/ Нет) или Установить "NetCompressor"? (Да/ Нет). После инсталляции в «Диспетчере приложений» появляется запись об установленной программе.

В случае если установочным архивом служит «RulesViver.sis», троянец создает в ОС следующие файлы:
c:\system\apps\RulesViver\data.bin
c:\system\apps\RulesViver\editor.dat
c:\system\apps\RulesViver\photo.jfif
c:\system\apps\RulesViver\RulesViver.aif
c:\system\apps\RulesViver\RulesViver.app
c:\system\apps\RulesViver\RulesViver.rsc
Файл «RulesViver.app» является исполняемым файлом формата EPOC и имеет размер 19132 байта. Это основной файл вируса.
Где «RulesViver.aif» — иконка приложения.
«RulesViver.rsc» — файл ресурсов программы.
«photo.jfif» — изображение, размер которого составляет 176x208 пикселей.
Файлы «data.bin» и «editor.dat» предназначены для маскировки функционала троянца.

Если в смартфон был загружен вариант «NetCompressor.sis», вредоносная программа при инсталляции создает файлы:
c:\system\apps\RulesViver\data.bin
c:\system\apps\RulesViver\NetCompressor.aif
c:\system\apps\RulesViver\NetCompressor.app
c:\system\apps\RulesViver\NetCompressor.rsc
«NetCompressor.app» — исполняемый файл формата EPOC размером 19164 байта. Является основным файлом троянца.
Где «NetCompressor.aif» — иконка приложения.
«NetCompressor.rsc» — файл ресурсов программы.

В процессе своей деятельности на смартфоне вирус использует функции следующих системных библиотек:
APGRFX.DLL
APPARC.DLL
AVKON.DLL
BAFL.DLL
BITGDI.DLL
CONE.DLL
EFSRV.DLL
EIKCORE.DLL
ETEXT.DLL
EUSER.DLL
FBSCLI.DLL
GSMU.DLL
MSGS.DLL
SMCM.DLL
WS32.DLL
Основной деструктивный функционал данной программы — отправка SMS-сообщений на специальные платные номера, вследствие чего со счета владельца мобильного аппарата списываются определенные суммы денег, часть которых поступает непосредственно злоумышленнику.

[b]Рекомендации по удалению[\b]
Для удаления вредоносной программы достаточно при помощи файлового менеджера удалить следующие файлы:
c:\system\apps\RulesViver\data.bin
c:\system\apps\RulesViver\editor.dat
c:\system\apps\RulesViver\photo.jfif
c:\system\apps\RulesViver\RulesViver.aif
c:\system\apps\RulesViver\RulesViver.app
c:\system\apps\RulesViver\RulesViver.rsc
c:\system\apps\RulesViver\data.bin
c:\system\apps\RulesViver\NetCompressor.aif
c:\system\apps\RulesViver\NetCompressor.app
c:\system\apps\RulesViver\NetCompressor.rsc
Затем необходимо перезагрузить мобильное устройство.
Djara
Вирус Trojan-SMS.SymbOS.Viver.b
Был обнаружен 17 мая 2007
Троянская программа для сматфонов, работающих под управлением ОС Symbian. Представляет собой установочный SIS-архив. Размер вирусного файла составляет 121723 байта. Собственной процедуры распространения не имеет.

Для того, чтобы устройство было инфицировано, пользователь должен самостоятельно скачать вредоносную программу через из Интернета или получить по Bluetooth и подтвердить ее инсталляцию
При установке приложения на экране отображается следующее сообщение: Установить "Codecs tool"? (Да/Нет). Это означает, что троянец пытается замаскироваться под обычное, полезное приложение.
После окончания инсталляции в «Диспетчере приложений» появляется запись об установленной программе.

В процессе установки вирус создает в системе файлы:
c:\system\apps\CIDScanner\CIDScanner.app
c:\system\apps\CIDScanner\CIDScanner.rsc
c:\system\apps\CIDScanner\data.bin
c:\system\codecs\codec_xvid.dll
c:\system\codecs\CoreMp4.dll
c:\system\codecs\MadAudio.dll
Где файл «CIDScanner.app» является исполняемым файлом формата EPOC, имеет размер 19132 байта. Это основной файл троянца.
«CIDScanner.rsc» — файл ресурсов программы, размер — 125 байт.
Файлы «data.bin» (2 байта), «codec_xvid.dll» (77896 байт), «CoreMp4.dll» (90236 байт) и «MadAudio.dll» (80652 байта) предназначены для маскировки основного функционала троянца.

В ходе совей работы вирус эксплуатирует функции следующих системных библиотек:
APGRFX.DLL
APPARC.DLL
AVKON.DLL
BAFL.DLL
BITGDI.DLL
CONE.DLL
EFSRV.DLL
EIKCORE.DLL
ETEXT.DLL
EUSER.DLL
FBSCLI.DLL
GSMU.DLL
MSGS.DLL
SMCM.DLL
WS32.DLL
Основной деструктивный функционал вредоносной программы — отправка SMS-сообщений на специальные платные номера, результатом чего является списание со счета владельца мобильного аппарата определенных денежных сумм, часть которых поступает злоумышленнику.
SMS посылаются без ведома пользователя и через установленные промежутки времени.

Рекомендации по удалению
Для удаления данной вредоносной программы достаточно удалить файловым менеджером следующие файлы:
c:\system\apps\CIDScanner\CIDScanner.app
c:\system\apps\CIDScanner\CIDScanner.rsc
c:\system\apps\CIDScanner\data.bin
c:\system\codecs\codec_xvid.dll
c:\system\codecs\CoreMp4.dll
c:\system\codecs\MadAudio.dll
Затем следует перезагрузить мобильное устройство.
АртUr
ДАаааааааа.Так можно залететь на бабки реально
Djara
Теперь приступим к описанию других, ранее известных, но не описанных выше вирусов:
Trojan.SymbOS.Appdisabler.a
появился на свет 18 мая 2005
Троянская программа, поражающая мобильные телефоны, работающие под управлением операционной системы Symbian. Троянец заменяет неработающими файлами некоторые системные приложения.
Представляет собой приложение для операционной системы Symbian 60 Series — инсталляционный SIS-архив.
Файл может иметь имя freetalktime.sis. Размер — 31210 байт.

При запуске троянец инсталлирует в телефон следующие файлы (всего 53):
\raghu.txt (275 байт)
\Images\raghu.txt (275 байт)
\Images\raghu crack.jpg (12554 байт)
\system\apps\0A-RAGHU.txt (201 байт)
\system\apps\RAGHU\raghu.app (6864 байт)
\system\apps\RAGHUMenu\raghumenu.app (5332 байт)
\system\apps\RAGHUMenu\raghumenu.rsc (60 байт)
\system\apps\RAGHUMenu\RAGHUMenu_caption.rsc (28 байт)

(Содержимое следующих каталогов перезаписывается, если каталог не существовал, то он создается):
system\apps\AD7650
system\apps\AnswRec
system\apps\BlackList
system\apps\BlueJackX
system\apps\callcheater
system\apps\CallManager
system\apps\Camcoder
system\apps\camerafx
system\apps\ETICamcorder
system\apps\ETIMovieAlbum
system\apps\ETIPlayer
system\apps\extendedrecorder
system\apps\FaceWarp
system\apps\FExplorer
system\apps\FSCaller
system\apps\Hair
system\apps\HantroCP
system\apps\irremote
system\apps\Jelly
system\apps\KPCaMain
system\apps\Launcher
system\apps\logoMan
system\apps\MIDIED
system\apps\mmp
system\apps\Mp3Go
system\apps\Mp3Player
system\apps\photoacute
system\apps\PhotoEditor
system\apps\Photographer
system\apps\PhotoSafe
system\apps\PhotoSMS
system\apps\PVPlayer
system\apps\RallyProContest
system\apps\realplayer
system\apps\RingMaster
system\apps\SmartAnswer
system\apps\SmartMovie
system\apps\SmsMachine
system\apps\Sounder
system\apps\sSaver
system\apps\SystemExplorer
system\apps\UltraMP3
system\apps\UVSMStyle
system\apps\WILDSKIN
В каждом каталоге создается файл с именем каталога и расширением app. Данные файлы имеют размер 6 байт и неработоспособны. Таким образом, все приложения, которые были перезаписаны троянцем, перестают работать, что приводит к нарушению функционирования телефона.

Файл raghu.txt содержит следующий текст:
----R A G H U----
VIRUS BORN IN SURAT(GUJRAT/INDIA/ASIA).
THE NAME OF THIS VIRUS IS RAGHU....
U KNOW WHY....???????
BECAUSE I LIKE VASTAV MOVIE AND SANJU BABA.
U LIKE THIS VIRUS?
SO MANY SOFTWARE CRACKS AND VIRUS AVAILABLE SOON....
RAGHU NAM HE RAGHU...

Файл 0A-raghu.txt содержит следующий текст:
MY NAME IS -----R A G H U-----
FROM SURAT/GUJARAT/INDIA/ASIA/WORLD/HEVEN/
U LIKE THIS VIRUS?
HA.......HAHA............HAHAHA
WARNING-NEVER INSTALL RAGHU.SIS ITS HARMFULL FOR YOUR MOBILE
Djara
Trojan-Spy.SymbOS.Pbstealer.a
Увидел свет 23 ноября 2005
Первая известная троянская программа для мобильных телефонов, обладающая функцией кражи пользовательских данных.
Представляет собой приложение для операционной системы Symbian 60 Series — инсталляционный SIS-архив.
Файл может иметь имя pbexplorer.sis. Размер — 10752 байт.

При запуске троянец инсталлирует файл pbexplorer.app в следующий каталог:
с:\system\apps\pbexplorer\
Файл pbexplorer.app является исполняемым файлом формата EPOC и имеет размер 10212 байт. Это основной файл троянца.

Файл содержит в себе текстовую строку:
Good artist copy, great artist steal ...
Сразу после инсталляции данный файл запускается на исполнение. Это сопровождается информационным окном со следующим текстом:
Phone Book
Compacting
by: lajel 202u
please wait...

Кража информации
После запуска троянец выводит на экран различные информационные окна с сообщениями о том, что производится работа по оптимизации адресной книги телефона. На самом деле происходит поиск всех контактов в телефоне и их копирование в файл c:\system\mail\phonebook.txt.
Затем троянец пытается обнаружить любое доступное Bluetooth-устройство и передать на него данный файл.
Таким образом, данные из адресной книги зараженного телефона могут быть получены третьими лицами.
Djara
Trojan.SymbOS.Appdisabler.j
Обнаружен 12 декабря 2005
Троянская программа, поражающая мобильные телефоны, работающие под управлением операционной системы Symbian. Троянец заменяет неработающими или поврежденными файлами различные антивирусные программы.
Представляет собой приложение для операционной системы Symbian — инсталляционный SIS-архив.
Файл может иметь имя Symbian_Anti-Virus.SIS. Размер — 27362 байт.

При запуске троянец устанавливает в телефон следующие файлы:
\ApMIME.dll (8620 байт)
\system\apps\About SymbianAV.txt (673 байта)
Содержимое следующих каталогов перезаписывается, если каталог не существовал, то он создается:
system\apps\Anti-Virus
system\apps\AntiCommWarrior
system\apps\Antivirus
system\apps\AppMngr
system\apps\CabirFix
system\apps\CalvinStinger
system\apps\Decabir
system\apps\Disinfect
system\apps\efileman
system\apps\EVS
system\apps\F-Secure
system\apps\FCommwarrior
system\apps\FExplorer
system\apps\Kaspersky
system\apps\KLAntivirus
system\apps\MAV
system\apps\mobilesecurity
system\apps\NEWFILESCAN
system\apps\ProfiMail
system\apps\SmartFileMan
system\apps\symcs
system\apps\symlu
system\apps\SystemExplorer
system\apps\TrendMicro
system\apps\virem
system\apps\virusguard
system\apps\VirusScan
В каждом каталоге создается файл с именем каталога и расширением app. Данные файлы имеют размер от 3 до 12 байт и неработоспособны. Таким образом, троянец пытается вывести из строя указанные антивирусные программы.

Файл «About SymbianAV.txt» содержит следующий текст:
-------------------------------------------------------

Symbian Anti-Virus
Version 1.10
Copyright й2006 Symbian Ltd.
* Phone Protection *


^
Damage < by > Helzim
V
--------------------------------------------------------
Djara
Trojan.SymbOS.Romride.a
Кого-то сильно удивил 01 июня 2006
Троянская программа для смартфонов, работающих под управлением ОС Symbian. Представляет собой SIS-файл «Nokia Live.sis». Размер — 3 233 байта.
Собственной процедуры распространения данный вирус не имеет.

Инсталляция вредоносной программы осуществляется пользователем смартфона

Троянец создает в телефоне файлы:
C:\System\Bootdata\CommonData.D00
C:\System\Bootdata\FirstBoot.dat
C:\System\Bootdata\LocaleData.D01
C:\System\Mail\00001000
C:\System\Mail\00100000
C:\System\Mail\00100001
C:\System\Schedules\Schedules.dat
C:\System\Shareddata\101f857a.ini
C:\System\Shareddata\10005a40.ini
C:\System\Shareddata\100056c6.ini
C:\System\Shareddata\100058f1.ini
C:\System\Shareddata\10005943.ini
C:\System\Shareddata\reserve.bin
Каждый их этих файлов является поврежденным, имеет неверный формат либо имя, из-за чего система может работать нестабильно.

После установки троянец отображает на экране окно со следующим текстом:

"Nokia Live
Please Reboot Your Phone!
ID:© Nokia
OK"

В «Диспетчере приложений» смартфона появляется запись о проинсталлированном вирусе

Рекомендации по удалению
Для удаления вредоносной программы достаточно установить файловый менеджер с поддержкой отображения системных и скрытых файлов. Это позволит удалить следующие файлы:
C:\System\Bootdata\CommonData.D00
C:\System\Bootdata\FirstBoot.dat
C:\System\Bootdata\LocaleData.D01
C:\System\Mail\00001000
C:\System\Mail\00100000
C:\System\Mail\00100001
C:\System\Schedules\Schedules.dat
C:\System\Shareddata\101f857a.ini
C:\System\Shareddata\10005a40.ini
C:\System\Shareddata\100056c6.ini
C:\System\Shareddata\100058f1.ini
C:\System\Shareddata\10005943.ini
C:\System\Shareddata\reserve.bin
Затем необходимо перезагрузить телефон.
Djara
Trojan-SMS.J2ME.RedBrowser.a
Обнаружен 27 февраля 2006
Троянская программа, поражающая мобильные телефоны любых производителей, использующие Java (J2ME).
Справка
J2ME — это не отдельная спецификация конкретного программного обеспечения. Это набор технологий и спецификаций, предназначенных для различных частей рынка небольших пользовательских электронных устройств. Основная часть платформы J2ME состоит из двух конфигураций: Connected Device Configuration (CDC) и Connected Limited Device Configuration (CLDC). Конфигурация определяет центральные библиотеки технологии Java и возможности Java Virtual Machine. Конфигурация CDC предназначена для портативных устройств типа high-end, например, коммуникаторов. Конфигурация CLDC создана для недорогих портативных устройств, таких как популярные модели мобильных телефонов. Специальные режимы позволяют определять функциональность конфигураций для различных типов устройств. Режим Mobile Information Device Profile (MIDP) предназначен для основанных на CLDC портативных устройств с возможностью коммуницировать — к таким устройствам относятся мобильные телефоны. Режим MIDP определяет функциональность — работу пользовательского интерфейса, сохранение настроек, работу в сети и модель приложения. CLDC и MIDP закладывают основу реализации J2ME.

Троянец распространяется под видом программы RedBrowser, якобы позволяющей посещать WAP-сайты без использования WAP-соединения. По словам авторов программы, подобный функционал реализован путем отправки и приема бесплатных SMS. Фактически, программа только отправляет с зараженного телефона SMS на некоторые платные номера (стоимость одного SMS — 5-6 долларов США), тем самым значительно и быстро опустошая лицевой счет абонента.
Представляет собой приложение Java — архив в формате JAR. Файл может иметь имя redbrowser.jar. Размер файла равен 54482 байт.

Троянец может быть загружен на телефон как из интернета (c WAP-сайта), так и другими способами — через Bluetooth или с персонального компьютера.

Архив содержит в себе следующие файлы:
FS.class — вспомогательный файл (2719 байт);
FW.class — вспомогательный файл (2664 байт);
icon.png — файл изображения (3165 байт);
logo101.png — файл изображения(16829 байт);
logo128.pnh — файл изображения(27375 байт);
M.class — файл интерфейса (5339 байт);
SM.class — непосредственно само троянское приложение, осуществляющее отправку SMS (1945 байт).

Удаление
Пользователи могут самостоятельно деинсталлировать троянца из своего телефона стандартными средствами.
Djara
Совокупность однообразных вирсусов Trojan.SymbOS.Skuller.gen
Обнародовано 05 декабря 2005
Общее название и процедуры детектирования для разнообразных файлов, входящих в состав известных модификаций троянцев семейства Skuller.

Файлы, детектируемые как Skuller.gen, представляют собой два вида программ.
Первый, наиболее распространенный — это различные поврежденные или испорченные приложения, либо файлы-пустышки. Именно они устанавливаются в ходе работы Skuller вместо имеющихся системных приложений, тем самым выводя телефон из строя.
Второй вид — это несколько программ, осуществляющих перезагрузку телефона. Все они также являются неотъемлемой частью известных вариантов Skuller. Такие программы могут быть установлены троянцем в режим автозапуска, что приводит к постоянной перезагрузке телефона.

Примером является описанная вредоносная программа Trojan.SymbOS.Skuller.a в сообщении Flib от 01 мая 2007 года под именем Skulls
Djara
Trojan.SymbOS.Arifat.a

Детектирование добавлено 11 апр 2006
Обновление выпущено 14 апр 2006 08:23 MSK
Описание опубликовано 18 сен 2007
Поведение Trojan, троянская программа

Технические детали
Троянская программа для мобильных устройств под управлением операционной системы Symbian. Инсталляционный архив троянца имеет размер 83984 байта.

Инсталляция
При инсталляции троянца отображается следующий запрос:
Установить "Bu uygulama"?

Троянец извлекает из своего тела следующие файлы:
C:\system\Apps\S32CNR\S32CNR.aif
C:\system\Apps\S32CNR\S32CNR.app
C:\system\Apps\S32CNR\S32CNR_caption.rsc

После этого в меню устройства появляется иконка:
MSN
XXXXXXXX.....
с изображением бабочки

Деструктивная активность
Троянская программа представляет собой ложный MSN-клиент. При вводе пользователем логина и пароля от своего MSN-аккаунта троянец отправляет их, а также EMEI-номер злоумышленнику при помощи SMS-сообщения на мобильный телефонный номер +90533408****.

Рекомендации по удалению:
Произвести Hardware reset мобильного устройства.
Произвести полную проверку всех инсталляций Антивирусом
Djara
Trojan.SymbOS.Fontal.h

Другие модификации: .g
Детектирование добавлено 30 ноя 2005 15:22 MSK
Обновление выпущено 30 ноя 2005 16:31 MSK
Описание опубликовано 20 сен 2007
Поведение Trojan, троянская программа

Технические детали
Троянская программа для мобильных устройств под управлением операционной системы Symbian. Инсталляционный архив троянца имеет размер 6202 байта.

Инсталляция
При инсталляции троянец отображает на экране устройства следующий запрос:
Установить "T-VIRUS"?

Затем появляется лицензионное соглашение...
После его подтверждения пользователем происходит распаковывание следующего файла размером 11335 байт:

C:\System\Fonts\T-VIRUS.gdr

Деструктивная активность
Установленный файл является некорректным файлом системных шрифтов. После перезагрузки мобильного устройства наличие некорректного шрифта в Symbian OS приводит к циклической перезагрузке системы.

Рекомендации по удалению
Произвести Hardware reset мобильного устройства.
Произвести полную проверку всех инсталляций Антивирусом
Djara
Trojan.SymbOS.Fontal.g

Другие модификации: .h
Детектирование добавлено 20 дек 2005
Описание опубликовано 20 сен 2007
Поведение Trojan, троянская программа

Технические детали
Троянская программа для мобильных устройств под управлением операционной системы Symbian. Инсталляционный архив троянца имеет размер 66283 байта.

Инсталляция
Данный троянец распространяется под видом антивирусной программы Nokia Anti-Virus.

При инсталляции троянец отображает на экране устройства следующий запрос:
Установить "Nokia Anti-Virus.sis"?

Затем появляется лицензионное соглашение...
После его подтверждения пользователем происходит распаковывание следующих файлов:
C:\System\apps\KAS\b.dat
C:\System\apps\KAS\Engine.exe
C:\System\apps\KAS\KAS
C:\System\apps\KAS\KaS.aif
C:\System\apps\KAS\KAS.r01
C:\System\apps\KAS\KAS_caption.r01
C:\System\apps\KAS\limages.mbm
C:\System\apps\KAS\lnotify.app
C:\System\apps\KAS\lnotify.mbm
C:\System\apps\KAS\lnotify.rsc
C:\System\apps\KAS\s.mid
C:\System\Fonts\Kaspersky.gdr
C:\System\help\KasAntivirusHelp.hlp
C:\System\libs\kasdll.dll
C:\System\recogs\kas_antivirus.mdl

Деструктивная активность
Установленный файл «C:\System\Fonts\Kaspersky.gdr» (имеет размер 11335 байт) является некорректным файлом системных шрифтов. После перезагрузки мобильного устройства наличие некорректного шрифта в Symbian OS приводит к циклической перезагрузке системы.
Кроме того, троянец нарушает работу установленного на устройстве антивирусного продукта Kaspersky Anti-Virus Mobile, перезаписывая его файлы:
C:\system\Apps\KLAntivirus\Settings.dat
C:\system\Apps\KLAntiVirus\b.dat
C:\system\Apps\KLAntivirus\KLAntivirus.app

Рекомендации по удалению
Произвести Hardware reset мобильного устройства.
Произвести полную проверку всех инсталляций Антивирусом
Virusняк
Мне интересно какой деган установит вирус Skulls?! Он же занимает 1GB 146.gif
Djara
Trojan.SymbOS.Hobble.a

Другие названия
Trojan.SymbOS.Hobble.a, также известен как: SymbOS/Hobbes.a!sis (McAfee), SymbOS.Hobbes.A (Symantec), Troj/Hobbes-A (Sophos), SYMBOS_HOBBES.A (Trend Micro), Symbos/Hobbes.A (H+BEDV), SymbOS/Hobbes.A (Grisoft), SymbOS.Trojan.Hobble.A (SOFTWIN), SymbOS/Hobble.A (Panda), SymbOS/Hobble.A (Eset)
Детектирование добавлено 20 апр 2005 09:21 MSK
Обновление выпущено 20 апр 2005 09:26 MSK
Описание опубликовано 29 апр 2005
Поведение Trojan, троянская программа

Технические детали
Вредоносная программа для смартфонов.
Распространяется в виде архива для операционной системы Symbian — SIS-архива. Размер файла архива — 36470 байт. Файл маскируется под антивирус Symantec (имя файла — symantec.sis).
Программа работает только в Symbian OS версии 6.1.

Инсталляция
После запуска создает следующие файлы:
\apps\FExplorer\FExplorer.aif
\apps\FExplorer\FExplorer.app
\apps\FExplorer\FExplorer.mbm
\apps\FExplorer\FExplorer.rsc
\apps\FExplorer\FExplorer_CAPTION.rsC
\apps\FExplorer\flo.mdl
\system\recogs\jjlas.mdl
\system\recogs\RecAppForge.mdl
\system\recogs\UltraMP3Rec.mdl
\system\recogs\recAutoExec.mdl

Действия
При запуске архива SIS в систему устанавливается FExplorer.app — поврежденное приложение FExplorer. После первой перезагрузки зараженного смартфона операционная система пытается запустить это приложение, что вызывает нарушение работы устройства. Заблокированными оказываются функции смартфона (запуск приложений и др.). На возможность приема и осуществления звонков вредоносная программа не влияет.
Djara
Цитата(Virusняк @ 18.2.2008, 22:23) *
Мне интересно какой деган установит вирус Skulls?! Он же занимает 1GB 146.gif

На будущее: читай и считай внимательнее !
Файл с вирусом имеет размер 1192117 байт, что означает 1192,117 Кб или 1,1192117 Мб., а до 1 Гб ещё очень далеко и не один вирус на Планете Земля не имеет таких размеров, кроме порнофильмов конечно же :-)))
В данной тебе приводятся только описания вирусов, комментарии здесь неуместны...
Djara
Trojan.SymbOS.Singlejump.e

Детектирование добавлено 03 май 2006 15:35 MSK
Обновление выпущено 03 май 2006 16:07 MSK
Описание опубликовано 18 сен 2007
Поведение Trojan, троянская программа

Технические детали
Троянская программа для мобильных устройств под управлением операционной системы Symbian. Инсталляционный архив троянца имеет размер 151551 байт.

Деструктивная активность
При инсталляции троянец извлекает из своего тела следующие файлы:
C:\System\Apps\About\About.aif
C:\System\Apps\About\About.app
C:\System\Apps\Anti-virus\Anti-virus.aif
C:\System\Apps\Anti-virus\Anti-virus.app
C:\System\Apps\AppInst\Appinst.aif
C:\System\Apps\AppInst\Appinst.app
C:\System\Apps\AppMngr\Appmngr.aif
C:\System\Apps\AppMngr\Appmngr.app
C:\System\Apps\Autolock\Autolock.aif
C:\System\Apps\Autolock\Autolock.app
C:\System\Apps\baseimage\baseimage.aif
C:\System\Apps\baseimage\baseimage.app
C:\System\Apps\Browser\Browser.aif
C:\System\Apps\Browser\Browser.app
C:\System\Apps\BtUi\BtUi.aif
C:\System\Apps\BtUi\BtUi.app
C:\System\Apps\bva\bva.aif
C:\System\Apps\bva\bva.app
C:\System\Apps\Calcsoft\Calcsoft.aif
C:\System\Apps\Calcsoft\Calcsoft.app
C:\System\Apps\Camcoder\Camcoder.aif
C:\System\Apps\Camcoder\Camcoder.app
C:\System\Apps\CbsUiApp\CbsUiApp.aif
C:\System\Apps\CbsUiApp\CbsUiApp.app
C:\System\Apps\CERTSAVER\CERTSAVER.aif
C:\System\Apps\CERTSAVER\CERTSAVER.app
C:\System\Apps\Chat\Chat.aif
C:\System\Apps\Chat\Chat.app
C:\System\Apps\ClockApp\ClockApp.aif
C:\System\Apps\ClockApp\ClockApp.app
C:\System\Apps\CodViewer\CodViewer.aif
C:\System\Apps\CodViewer\CodViewer.app
C:\System\Apps\ConnectionMonitorUi\ConnectionMonitorUi.aif
C:\System\Apps\ConnectionMonitorUi\ConnectionMonitorUi.app
C:\System\Apps\Converter\Converter.aif
C:\System\Apps\Converter\Converter.app
C:\System\Apps\cshelp\cshelp.aif
C:\System\Apps\cshelp\cshelp.app
C:\System\Apps\DataMoverCli\DataMoverCli.aif
C:\System\Apps\DataMoverCli\DataMoverCli.app
C:\System\Apps\DdViewer\DdViewer.aif
C:\System\Apps\DdViewer\DdViewer.app
C:\System\Apps\DRMRightsManager\DRMRightsManager.aif
C:\System\Apps\DRMRightsManager\DRMRightsManager.app
C:\System\Apps\FExplorer\FExplorer.aif
C:\System\Apps\FExplorer\FExplorer.app
C:\System\Apps\FileManager\FileManager.aif
C:\System\Apps\FileManager\FileManager.app
C:\System\Apps\GS\GS.aif
C:\System\Apps\GS\GS.app
C:\System\Apps\ImagePrintApp\ImagePrintApp.aif
C:\System\Apps\ImagePrintApp\ImagePrintApp.app
C:\System\Apps\ImageViewer\ImageViewer.aif
C:\System\Apps\ImageViewer\ImageViewer.app
C:\System\Apps\Logs\Logs.aif
C:\System\Apps\Logs\Logs.app
C:\System\Apps\ManualVideoEditor\ManualVideoEditor.aif
C:\System\Apps\ManualVideoEditor\ManualVideoEditor.app
C:\System\Apps\mce\mce.aif
C:\System\Apps\mce\mce.app
C:\System\Apps\MediaGallery2\MediaGallery2.aif
C:\System\Apps\MediaGallery2\MediaGallery2.app
C:\System\Apps\MediaPlayer\MediaPlayer.aif
C:\System\Apps\MediaPlayer\MediaPlayer.app
C:\System\Apps\MediaSettings\MediaSettings.aif
C:\System\Apps\MediaSettings\MediaSettings.app
C:\System\Apps\Menu\Menu.aif
C:\System\Apps\Menu\Menu.app
C:\System\Apps\mmcapp\mmcapp.aif
C:\System\Apps\mmcapp\mmcapp.app
C:\System\Apps\MmsEditor\MmsEditor.aif
C:\System\Apps\MmsEditor\MmsEditor.app
C:\System\Apps\MmsViewer\MmsViewer.aif
C:\System\Apps\MmsViewer\MmsViewer.app
C:\System\Apps\MsgMailEditor\MsgMailEditor.aif
C:\System\Apps\MsgMailEditor\MsgMailEditor.app
C:\System\Apps\MsgMailViewer\MsgMailViewer.aif
C:\System\Apps\MsgMailViewer\MsgMailViewer.app
C:\System\Apps\MusicPlayer\MusicPlayer.aif
C:\System\Apps\MusicPlayer\MusicPlayer.app
C:\System\Apps\Notepad\Notepad.aif
C:\System\Apps\Notepad\Notepad.app
C:\System\Apps\NpdViewer\NpdViewer.aif
C:\System\Apps\NpdViewer\NpdViewer.app
C:\System\Apps\NSmIDMSync\NSmIDMSync.aif
C:\System\Apps\NSmIDMSync\NSmIDMSync.app
C:\System\Apps\NSmIDSSync\NSmIDSSync.aif
C:\System\Apps\NSmIDSSync\NSmIDSSync.app
C:\System\Apps\Opera\Opera.aif
C:\System\Apps\Operatormenu\Operatormenu.aif
C:\System\Apps\Operatormenu\Operatormenu.app
C:\System\Apps\Phone\Phone.aif
C:\System\Apps\Phone\Phone.app
C:\System\Apps\Phonebook\Phonebook.aif
C:\System\Apps\Phonebook\Phonebook.app
C:\System\Apps\Photoring\Photoring.aif
C:\System\Apps\Photoring\Photoring.app
C:\System\Apps\Pinboard\Pinboard.aif
C:\System\Apps\Pinboard\Pinboard.app
C:\System\Apps\ProfileApp\ProfileApp.aif
C:\System\Apps\ProfileApp\ProfileApp.app
C:\System\Apps\ProvisioningCx\Provisioning.app
C:\System\Apps\ProvisioningCx\ProvisioningCx.aif
C:\System\Apps\PSLN\PSLN.aif
C:\System\Apps\PSLN\PSLN.app
C:\System\Apps\PushViewer\PushViewer.aif
C:\System\Apps\PushViewer\PushViewer.app
C:\System\Apps\Satui\Satui.aif
C:\System\Apps\Satui\Satui.app
C:\System\Apps\SchemeApp\SchemeApp.aif
C:\System\Apps\SchemeApp\SchemeApp.app
C:\System\Apps\ScreenSaver\ScreenSaver.aif
C:\System\Apps\ScreenSaver\ScreenSaver.app
C:\System\Apps\SimDirectory\SimDirectory.aif
C:\System\Apps\SimDirectory\SymDirectory.app
C:\System\Apps\SmartFileMan\SmartFileMan.aif
C:\System\Apps\SmartFileMan\SmartFileMan.app
C:\System\Apps\Smiltemplate\Smiltemplate.aif
C:\System\Apps\Smiltemplate\Smiltemplate.app
C:\System\Apps\SmsEditor\SmsEditor.aif
C:\System\Apps\SmsEditor\SmsEditor.app
C:\System\Apps\SmsViewer\SmsViewer.aif
C:\System\Apps\SmsViewer\SmsViewer.app
C:\System\Apps\SnakeEx\SnakeEx.aif
C:\System\Apps\SnakeEx\SnakeEx.app
C:\System\Apps\Speeddial\Speeddial.aif
C:\System\Apps\Speeddial\Speeddial.app
C:\System\Apps\Startup\Startup.aif
C:\System\Apps\Startup\Startup.app
C:\System\Apps\symcs\symcs.aif
C:\System\Apps\symcs\symcs.app
C:\System\Apps\symlu\symlu.aif
C:\System\Apps\symlu\symlu.app
C:\System\Apps\SysAp\SysAp.aif
C:\System\Apps\SysAp\SysAp.app
C:\System\Apps\SystemExplorer\SystemExplorer.aif
C:\System\Apps\SystemExplorer\SystemExplorer.app
C:\System\Apps\testserver\testserver.aif
C:\System\Apps\testserver\testserver.app
C:\System\Apps\ToDo\ToDo.aif
C:\System\Apps\ToDo\ToDo.app
C:\System\Apps\Ussd\Ussd.aif
C:\System\Apps\Ussd\Ussd.app
C:\System\Apps\VCommand\VCommand.aif
C:\System\Apps\VCommand\VCommand.app
C:\System\Apps\videotelui\videotelui.aif
C:\System\Apps\videotelui\videotelui.app
C:\System\Apps\Vm\Vm.aif
C:\System\Apps\Vm\Vm.app
C:\System\Apps\Voicerecorder\Voicerecorder.aif
C:\System\Apps\Voicerecorder\Voicerecorder.app
C:\System\Apps\WALLETAVMGMT\WALLETAVMGMT.aif
C:\System\Apps\WALLETAVMGMT\WALLETAVMGMT.app
C:\System\Apps\WALLETAVOTA\WALLETAVOTA.aif
C:\System\Apps\WALLETAVOTA\WALLETAVOTA.app

Все распаковываемые файлы за исключением описанных ниже являются «заглушками-пустышками», заменяющими оригинальные файлы установленных приложений, вследствие чего нарушается работоспособность последних:
E:\autorun.inf — устанавливается на карту памяти в корневой каталог. Служит для автоматического запуска на ПК файла «E:\adobe_acrobat_80.exe».
E:\adobe_acrobat_80.exe — инсталлируется на карту памяти в корневой каталог. Имеет размер 118784 байта. Детектируется Антивирусом Касперского как Worm.Win32.Deffective.a. Запускается автоматически при открытии карты памяти на ПК.
C:\System\Fonts\battles_in_the_bed.gdr — некорректный файл системных шрифтов. После перезагрузки мобильного устройства наличие некорректного шрифта в Symbian OS приводит к циклической перезагрузке системы.
E:\Images\wawa.jpg — файл, представляющий собой следующее изображение:
очень красивый рисунок :-(((( - сразу становится ясно, что что-то подцепил...
E:\magic_card\bluetooth_hacking.txt и E:\System\Installs\BlueSoft Hacking Pro.sis — текстовые файлы, содержание которых таково:

FROM : san_shaker............

BROUGHT TO U BY CANISIUS COLLEGE!

AD MAIOREM DEI GLORIAM!!!

Также червь заменяет локальные страницы управления браузера Opera:
C:\System\Apps\Opera\EN-GB\connect.html
C:\System\Apps\Opera\EN-GB\home.html
C:\System\Apps\Opera\EN-GB\index.html
C:\System\Apps\Opera\EN-GB\keypad.html
C:\System\Apps\Opera\EN-GB\start.html
C:\System\Apps\Opera\EN-GB\troubleshoot.html
C:\System\Apps\Opera\ID\connect.html
C:\System\Apps\Opera\ID\home.html
C:\System\Apps\Opera\ID\index.html
C:\System\Apps\Opera\ID\keypad.html
C:\System\Apps\Opera\ID\start.html
C:\System\Apps\Opera\ID\troubleshoot.html
C:\System\Apps\Opera\TH\connect.html
C:\System\Apps\Opera\TH\home.html
C:\System\Apps\Opera\TH\index.html
C:\System\Apps\Opera\TH\keypad.html
C:\System\Apps\Opera\TH\start.html
C:\System\Apps\Opera\TH\troubleshoot.html
C:\System\Apps\Opera\ZH-CN\connect.html
C:\System\Apps\Opera\ZH-CN\home.html
C:\System\Apps\Opera\ZH-CN\index.html
C:\System\Apps\Opera\ZH-CN\keypad.html
C:\System\Apps\Opera\ZH-CN\start.html
C:\System\Apps\Opera\ZH-CN\troubleshoot.html

Вместо указанных оригинальных страниц будет отображаться следующее сообщение:

YOU HAVE BEEN INFECTED BY SAN SHAKER'S VIRUS

Рекомендации по удалению
Произвести Hardware reset мобильного устройства.
Произвести полную проверку всех инсталляций Антивирусом
Djara
Trojan.SymbOS.Fonzi.a
Обнаружен 06 янв 2008 10:54 MSK

Троянская программа для смартфонов, работающих под управлением ОС Symbian. Троянец представляет собой файл формата SIS. Размер файла – 6402 байта.

Инсталляция
В процессе установки вредоносной программы выдается следующее сообщение:
Установить "ZFrontRemover"?

После установки вредоносного приложения в «Диспетчере приложений» появляется запись об установленной программе.

При инсталляции программа создает в телефоне следующие файлы:
C:\System\Apps\ZFontRemover\ZFontRemover_Caption.rsc
C:\System\Apps\ZFontRemover\ZFontRemover.rsc
C:\System\Apps\ZFontRemover\ZFontRemover.aif
C:\System\Apps\ZFontRemover\ZFontRemover.app
Файл "ZFontRemover.app" – является исполняемым файлом формата EPOC и имеет размер 8184 байта. Этот файл является основным файлом троянца. "ZFontRemover.rsc" – файл ресурсов программы, имеет размер 349 байт. "ZFontRemover.aif" – файл изображения, имеет размер 3051 байт. "ZFontRemover_Caption.rsc" – файл скрывающий основное назначение троянца, имеет размер 60 байт.

Троянская программа маскируется под полезное программное обеспечения ZFontRemover, с помощью которого можно удалить все сторонние шрифты из операционной системы и восстановить шрифты по умолчанию. Вместо этого троянец производит удаление пользовательских данных с дисков операционной системы (C, D, E).

Рекомендации по удалению
Для удаления вредоносной программы достаточно удалить файловым менеджером следующие файлы:
C:\System\Apps\ZFontRemover\ZFontRemover_Caption.rsc
C:\System\Apps\ZFontRemover\ZFontRemover.rsc
C:\System\Apps\ZFontRemover\ZFontRemover.aif
C:\System\Apps\ZFontRemover\ZFontRemover.app

В случае если устройство было уже перезагружено и не запускается, следует отформатировать телефон.
Djara
Trojan-SMS.SymbOS.Gpiares.a
Обнаружен 03 апр 2008
Троянская программа для смартфонов, работающих под управлением ОС Symbian.
Троянец представляет собой файл формата SIS. Размер файла – 6544 байта.

Инсталляция
В процессе установки вредоносной программы выдается следующее сообщение:
Установить ""Port" ?

После установки вредоносного приложения в «Диспетчере приложений» появляется запись об установленной программе.

При инсталляции программа создает в телефоне следующие файлы:
!:\system\apps\Port\Port.rsc
!:\system\apps\Port\Port.app
Файл "Port.app" – является исполняемым файлом формата EPOC и имеет размер 14208 байт. Этот файл является основным файлом троянца. "Port.rsc" – файл ресурсов программы, имеет размер 125 байт.

Деструктивная активность
Основной деструктивный функционал вредоносной программы состоит в отправке SMS-сообщений на специальные платные номера. В результате со счета владельца зараженного мобильного аппарата списываются определенные суммы денег, часть которых поступает непосредственно злоумышленнику.

Рекомендации по удалению
Для удаления вредоносной программы достаточно удалить файловым менеджером следующие файлы:

!:\system\apps\Port\Port.rsc
!:\system\apps\Port\Port.app
vhakur2
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинйоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
инфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфоинфо
Для просмотра полной версии этой страницы, пожалуйста, пройдите по ссылке.
Русская версия IP.Board © 2001-2020 IPS, Inc.