КПК под прицелом вирусописателей

«Лаборатория Касперского» сообщает об обнаружении Backdoor.WinCE.Brador.a — первой backdoor-программы для карманных персональных компьютеров PocketPC на базе Windows CE или более новых версий Windows Mobile.

Backdoor.WinCE.Brador.a — утилита удаленного администрирования размером 5632 байт, поражающая КПК на базе Windows CE. После своего запуска программа создает файл с именем «svchost.exe» в папке автозапуска Windows, получая, таким образом, управление системой при каждом включении КПК. Программа определяет IP-адрес зараженной системы и отправляет его по электронной почте автору, информируя его о том, что КПК находится в сети и backdoor активен. После этого программа открывает порт 2989* для приема различных команд.

Основная функция Brador.a — открытие портов на зараженных машинах с целью получения злоумышленниками доступа к КПК и полного контроля над мобильным устройством. Программа обладает функцией автозагрузки и удаленного управления, кроме того, она может добавлять или удалять файлы в памяти устройства, а также пересылать их злоумышленнику. Backdoor не имеет функции самораспространения и может попасть на КПК пользователя под видом другой безобидной программы, по классической для троянских программ схеме: через вложения в электронных письмах или прямую загрузку из интернета, а также при передаче данных с настольного компьютера.

«Обнаружение первой троянской программы для карманных компьютеров подтверждает наши опасения, высказанные недавно в связи с появлением концептуальных вирусов для мобильных телефонов и для операционной системы Windows Mobile», — говорит Евгений Касперский, руководитель антивирусных исследований «Лаборатории Касперского». — «Brador.a — полноценная вредоносная программа, здесь речь уже не идет о демонстрации вирусописателями своих возможностей, мы можем наблюдать набор деструктивных функций, характерный для большинства бэкдоров».

По данным аналитиков «Лаборатории Касперского», автором Brador.a предположительно может являться российский вирусописатель. Такой вывод сделан в связи с тем, что информация о появлении первой backdoor-программы для PocketPC поступила с российского адреса электронной почты, текст сообщения был составлен на русском языке. Особые опасения внушает тот факт, что данная разработка является коммерческой (предлагается приобретать клиентскую часть за деньги), а это означает, что в ближайшее время backdoor может серьезно распространиться.

«Пользователи мобильных устройств находятся в реальной опасности, и мы можем только предположить, что компьютерный андеграунд в ближайшее время еще больше активизируется в создании вредоносных программ для мобильных телефонов и карманных компьютеров. Ситуация с мобильными устройствами развивается так же, как в свое время с настольными компьютерами, и вполне возможно, что нас ожидают крупные вирусные эпидемии для КПК», — добавил Евгений Касперский.

Процедуры обнаружения и удаления Backdoor.WinCE.Brador.a уже добавлены в базу данных Антивируса Касперского.

Техническое описание данной вредоносной программы опубликовано в «Вирусной энциклопедии».

* — ранее по ошибке в тексте новости был указан порт 44299