Отчеты о вредоносном ПО

Введение в мобильную вирусологию, часть I

  1. Введение в мобильную вирусологию, часть I
  2. Введение в мобильную вирусологию, часть II

В июне 2006-го минуло два года, как «Лаборатория Касперского» получила первый образец вируса для мобильного телефона. Теперь мы уже знаем, что его авторство принадлежит знаменитой международной группе вирусописателей 29A, а именно одному из ее членов, известному под псевдонимом Vallez.

Ящик Пандоры был открыт, и на сегодняшний день в коллекциях антивирусных компаний находятся сотни всевозможных троянских программ и червей, атакующих мобильные телефоны. Тонкий ручеек новых зловредов для Symbian, существовавший в 2004 году, сейчас превратился в бурный поток и грозит в ближайшее время стать полноводной рекой. Каждую неделю мы добавляем в наши антивирусные базы около десятка троянских программ, имеющих в своем имени префикс «SymbOS».

Самое печальное, что этот процесс сопровождается действительно существующими и все усиливающимися эпидемиями мобильных червей, реальные масштабы которых пока не поддаются оценке. Всего год назад мы только слышали о том, что Cabir обнаружен в такой-то стране или городе, затем люди с зараженными телефонами начали обращаться непосредственно к нам, и мы постепенно становились свидетелями реальных случаев заражения. А сейчас уже многие сотрудники нашей компании в Москве и сами столкнулись с подобными червями.

Возможно, причина столь широкого распространения мобильных червей — гораздо более низкий общий уровень компьютерной грамотности у пользователей телефонов по сравнению с пользователями Интернета. С другой стороны, даже опытные пользователи все еще относятся к вирусам для мобильных устройств, как к проблеме будущего или считают их чем-то существующим где-то очень далеко.

Нет, мобильные вирусы — это не параллельный мир. Они существуют рядом с нами прямо сейчас, и каждый раз, когда вы спускаетесь в метро или идете в кинотеатр, летите куда-нибудь из большого аэропорта — ваш телефон находится под угрозой.

Нам еще предстоит пройти большой путь в деле просвещения пользователей, сравнимый с тем, что мы проделали в ситуации с обычными компьютерными вирусами.

В начале было…

14 июня 2004 года на адрес электронной почты newvirus@kaspersky.com пришло письмо от известного коллекционера компьютерных вирусов, тесно связанного с некоторыми авторами вирусов, испанца VirusBuster. Письмо содержало файл с именем caribe.sis. В тот момент мы еще не знали, что это такое. Быстрый анализ файла показал, что файл является приложением для операционной системы Symbian и одновременно архивом-инсталлятором, содержащим в себе другие файлы. Как правило, вирусным аналитикам приходится работать с файлами, созданными для традиционных процессоров x86. Файлы из caribe.sis представляли собой приложения для процессора ARM, используемого в различных микроустройствах, включая и мобильные телефоны. Нам был незнаком машинный язык этого процессора, но за несколько часов аналитики смогли разобраться в нем и после этого назначение файлов стало ясно: это был червь для мобильных телефонов, рассылающий себя через Bluetooth. Наши выводы полностью подтвердились на следующий день, когда мы протестировали работоспособность червя на телефоне Nokia N-Gage, оснащенном операционной системой Symbian.

Червь был создан человеком, известным под псевдонимом Vallez. По нашим данным, он проживает во Франции и в тот момент входил в состав вирусописательской группы 29A. Эта группа ставила своей целью создание новых, концептуальных вирусов для нестандартных операционных систем и приложений. Ее участники как бы демонстрировали антивирусным компаниям и другим вирусописателям, что существуют новые направления атаки. В этот раз целью было создание вредоносной программы для смартфонов. Для размножения червя также был выбран нестандартный способ. Мы привыкли к тому, что черви обычно распространяются по электронной почте, и логично было бы ожидать от Cabir такого же пути рассылки себя. Тем более, что одной из основных функций смартфонов является возможность работы с Интернетом и электронной почтой. Однако автор червя избрал другой способ — протокол Bluetooth. Это стало вторым ключевым моментом идеи.

В качестве среды функционирования червя используется операционная система Symbian. И тогда она была, и сейчас продолжает оставаться лидером среди ОС для мобильных телефонов. Во многом это лидерство обусловлено тем, что именно Symbian используется в смартфонах, выпускаемых компанией Nokia. Фактически Symbian+Nokia сейчас являются стандартом для смартфонов, и пройдет еще много времени до того момента, как Windows Mobile сможет потеснить Symbian на этом рынке.

Таким образом, очередной раз был продемонстрирован принцип действия «закона появления компьютерных вирусов». Для того чтобы для какой-то ОС или платформы появились вредоносные программы, необходимо наличие трех факторов:

 

  • Популярность платформы.

 

      Symbian OS была и остается самой популярной платформой для смартфонов. Общее число пользователей составляет несколько десятков миллионов человек по всему миру.

Слова автора Cabir: «Symbian could be a very extended operating system used in mobile phones in the future. Today is the more extended and in my opinion it could be more yet (M$ is fighting too for being into this market too)».

 

  • Наличие хорошо документированных средств разработки приложений.

 

Слова автора Cabir: «Caribe was written in c++. Symbian/nokia is giving us a complete sdk for developing applications for symbian operating system».

 

  • Наличие уязвимостей или ошибок.

Symbian содержит несколько серьезных ошибок «by design» в системе работы с файлами и сервисами. В случае с Cabir они не были использованы, однако в большинстве современных троянцев для смартфонов они использованы в полной мере.

 

Cabir моментально привлек внимание не только антивирусных компаний, но и других вирусописателей. Все ждали момента, когда 29A опубликует очередной номер своего электронного журнала. Именно там по традиции должны были быть опубликованы исходные коды червя. Было понятно, что их публикация приведет к появлению новых, более опасных вариантов червя. Так всегда бывает, когда в руки script-kiddies попадают подобные технологии. Но и без наличия исходных кодов мелкие хулиганы способны на многое.

Существующие виды и семейства мобильных вирусов

Осенью 2004 года сформировались три основных направления, по которым в последующие годы развивалась мобильная вирусология. Одним стало создание троянских программ, призванных наносить финансовый ущерб зараженному пользователю. Первым стал троянец Mosquit.a. Будучи безвредной игрой для телефона, он со временем начинал рассылать множество SMS по адресной книге. Таким образом авторы игры пытались ее рекламировать. Фактически это был не только первый троянец для смартфонов, но и первая AdWare.

Появившийся в ноябре троянец Skuller.a стал первой ласточкой в самом многочисленном ныне семействе мобильных троянцев. Именно он использовал ошибки в работе Symbian, позволявшие любому приложению перезаписывать своими файлами имеющиеся системные файлы, даже не запрашивая при этом разрешения пользователя. Троянец заменял иконками с изображением черепа иконки приложений, попутно удаляя их файлы. В результате этого после перезагрузки телефон переставал работать. Этот принцип «троянца-вандала» стал одним из наиболее популярных у вирусописателей.


Троянец Skuller.a

Практически одновременно с Skuller.a на свет вырвались сразу три варианта Cabir. Они не были основаны на исходных кодах оригинального червя. Просто к тому моменту сам Cabir уже попал в руки вирусописателей, и некоторые из них проделали любимый трюк script-kiddies — просто переименовали файлы червя и переписали некоторые тексты внутри него на свои собственные. Один из этих вариантов был усилен тем, что внутрь архива с червем был добавлен еще и Skuller. Получившийся гибрид не имел особого смысла: червь не мог размножаться, поскольку троянец выводил телефон из строя, однако это было первым примером использования Cabir в качестве «носителя» для других вредоносных программ.

Таким образом к началу 2005 года основные виды мобильных вирусов в целом уже были сформированы, и в последующие полтора года авторы вирусов придерживались именно их:

  • черви, распространяющиеся через специфические для смартфонов протоколы и сервисы;
  • троянцы-вандалы, использующие ошибки Symbian для установки в систему;
  • троянцы, ориентированные на нанесение финансового ущерба пользователю.

Однако, несмотря на столь малое число основных поведений, на практике это вылилось в многообразие форм и видов вирусов. В настоящий момент «Лаборатория Касперского» учитывает 31 семейство вредоносных программ для мобильных телефонов. Мы ведем таблицу, в которой можно увидеть основные черты каждого из этих семейств.

Название Дата ОС Функционал Технологическая основа Количество вариантов
Worm.SymbOS.Cabir Июнь 2004 Symbian Распространение по Bluetooth Bluetooth 15
Virus.WinCE.Duts Июль 2004 Windows CE Заражение файлов (File API) 1
Backdoor.WinCE.Brador Август 2004 Windows CE Предоставление удаленного доступа по сети (Network API) 2
Trojan.SymbOS.Mosquit Август 2004 Symbian Рассылка SMS SMS 1
Trojan.SymbOS.Skuller Ноябрь 2004 Symbian Подмена файлов иконок, подмена системных приложений Уязвимость ОС 31
Worm.SymbOS.Lasco Январь 2005 Symbian Распространение по Bluetooth, заражение файлов Bluetooth, File API 1
Trojan.SymbOS.Locknut Февраль 2005 Symbian Инсталляция поврежденных приложений Уязвимость ОС 2
Trojan.SymbOS.Dampig Март 2005 Symbian Подмена системных приложений Уязвимость ОС 1
Worm.SymbOS.ComWar Март 2005 Symbian Распространение по Bluetooth и MMS, заражение файлов Bluetooth, MMS, File API 7
Trojan.SymbOS.Drever Март 2005 Symbian Подмена загрузчиков приложений-антивирусов Уязвимость ОС 4
Trojan.SymbOS.Fontal Апрель 2005 Symbian Подмена файлов шрифтов Уязвимость ОС 8
Trojan.SymbOS.Hobble Апрель 2005 Symbian Подмена системных приложений Уязвимость ОС 1
Trojan.SymbOS.Appdisabler Май 2005 Symbian Подмена системных приложений Уязвимость ОС 6
Trojan.SymbOS.Doombot Июнь 2005 Symbian Подмена системных приложений, инсталляция Comwar Уязвимость ОС 17
Trojan.SymbOS.Blankfont Июль 2005 Symbian Подмена файлов шрифтов Уязвимость ОС 1
Trojan.SymbOS.Skudoo Август 2005 Symbian Инсталляция поврежденных приложений, установка Cabir, Skuller, Doombor Уязвимость ОС 3
Trojan.SymbOS.Singlejump Август 2005 Symbian Отключение системных функций, подмена иконок Уязвимость ОС 5
Trojan.SymbOS.Bootton Август 2005 Symbian Инсталляция поврежденных приложений, установка Cabir Уязвимость ОС 2
Trojan.SymbOS.Cardtrap Сентябрь 2005 Symbian Удаление файлов антивирусов, подмена системных приложений, установка Win32 Malware на карту памяти Уязвимость ОС 26
Trojan.SymbOS.Cardblock Октябрь 2005 Symbian Блокировка работы карты памяти, удаление каталогов Уязвимость ОС, File API 1
Trojan.SymbOS.Pbstealer Ноябрь 2005 Symbian Кража информации Bluetooth, File API 5
Trojan-Dropper.SymbOS.Agent Декабрь 2005 Symbian Установка других вредоносных программ Уязвимость ОС 3
Trojan-SMS.J2ME.RedBrowser Февраль 2006 J2ME Рассылка SMS Java, SMS 2
Worm.MSIL.Cxover Март 2006 Windows Mobile/ .NET Удаление файлов, копирование своего тела на другие устройства File (API), NetWork (API) 1
Worm.SymbOS.StealWar Март 2006 Symbian Кража информации, распространение по Bluetooth и MMS Bluetooth, MMS, File (API) 5
Email-Worm.MSIL.Letum Март 2006 Windows Mobile/ .NET Распространение по электронной почте Email, File (API) 3
Trojan-Spy.SymbOS.Flexispy Апрель 2006 Symbian Кража информации 2
Trojan.SymbOS.Rommwar Апрель 2006 Symbian Подмена системных приложений Уязвимость ОС 4
Trojan.SymbOS.Arifat Апрель 2006 Symbian 1
Trojan.SymbOS.Romride Июнь 2006 Symbian Подмена системных приложений Уязвимость ОС 8
Worm.SymbOS.Mobler.a Август 2006 Symbian Удаление файлов антивирусов, подмена системных приложений, размножение через карту памяти Уязвимость ОС 1
31 семейство, 170 вариантов
Полный список известных семейств мобильных вирусов по классификации «Лаборатории Касперского» (по состоянию на 30 августа 2006 года).

Увеличение количества известных вариантов мобильных вирусов

Увеличение количества известных семейств мобильных вирусов

Если обобщить все эти данные, то мы получим ответ на вопрос «Что могут делать мобильные вирусы?»:

  • Распространяться через Bluetooth, MMS
  • Посылать SMS
  • Заражать файлы
  • Давать возможность удаленно управлять смартфоном
  • Изменять или менять иконки, системные приложения
  • Устанавливать «ложные» или некорректные шрифты, приложения
  • Бороться с антивирусами
  • Устанавливать другие вредоносные программы
  • Блокировать работу карт памяти
  • Воровать информацию

Следует признать, что современные мобильные вирусы умеют практически все то же самое, что и компьютерные вирусы. Но компьютерным вирусам, чтобы породить весь этот спектр поведений, потребовалось более двадцати лет. Мобильные вирусы прошли этот путь всего лишь за два года. Без сомнения, перед нами самая динамичная и быстро развивающаяся область вредоносных программ, причем очевидно, что до пика своего развития ей еще очень далеко.

Основы

Одним из главных отличий мобильных вирусов от современных компьютерных с точки зрения технологии является то, что — несмотря на обилие мобильных семейств — существует крайне ограниченное число действительно оригинальных зловредов. Это можно сравнить с ситуацией, которая была в конце 80-х годов прошлого века в компьютерных вирусах. Тогда существовали сотни вирусов, которые в своей основе имели некоторые «базовые» вредоносные программы, были основаны на их исходных кодах. Vienna, Stoned, Jerusalem — эти три вируса явились прародителями массы других.

Я бы выделил в такие «прародители» среди мобильных вирусов следующие программы:

  • Cabir
  • Comwar
  • Skuller.gen

Cabir

Cabir не только породил несколько своих вариантов, отличающихся лишь именами файлов и составом своего инсталляционного sis-файла. На основе этого червя были созданы такие самостоятельные и на первый взгляд непохожие друг на друга семейства, как StealWar, Lasco и Pbstealer.

Lasco

Lasco стал первым из них и помимо функций червя обладает способностью заражения файлов на телефоне. Именно история с появлением Lasco является очень хорошей иллюстрацией того, к чему ведет публикация в открытых источниках кодов вирусов. Некий бразилец Маркос Веласко, называющий себя экспертом в области мобильных вирусов, заполучил исходники Cabir и занялся откровенным вирусописательством. В течение последней недели 2004 года он послал в антивирусные компании сразу несколько собственных переделок Cabir, часть которых была абсолютно неработоспособна. Все они были классифицированы антивирусными компаниями как новые варианты Cabir. Такая классификация весьма не понравилась автору, и он, в попытках прославиться, создал вариант червя, который мог еще и заражать sis-файлы. Так в антивирусных базах появился червь Lasco.

К счастью, идея заражения файлов не получила дальнейшего распространения среди вирусописателей, даже несмотря на то, что Веласко опубликовал исходные коды своего творения на собственном сайте.

До сих пор нет полной ясности в том, действительно ли в основу Lasco лег Cabir. Маркос утверждал, что он написал весь код самостоятельно, однако количество файлов, их имена, размер и принцип работы во многом совпадают с Cabir. Вы можете сами сравнить одну из основных функций в обоих червях и сделать собственные выводы.

Функция рассылки через Bluetooth (Cabir):

if(WithAddress)
{
WithAddress = 0;
Cancel();
TBTSockAddr btaddr(entry().iAddr);
TBTDevAddr devAddr;
devAddr = btaddr.BTAddr();
TObexBluetoothProtocolInfo obexBTProtoInfo;
obexBTProtoInfo.iTransport.Copy(_L(«RFCOMM»));
obexBTProtoInfo.iAddr.SetBTAddr(devAddr);
obexBTProtoInfo.iAddr.SetPort(0x00000009);
obexClient = CObexClient::NewL(obexBTProtoInfo);
if(obexClient)
{
iState = 1;
iStatus = KRequestPending;
Cancel();
obexClient->Connect(iStatus);
SetActive();
}
}
else
{
iState = 3;
User::After(1000000);
}
return 0;

Функция рассылки через Bluetooth (Lasco):

if ( FoundCell )
{
FoundCell = _NOT;
Cancel();
TBTSockAddr addr( entry().iAddr );
TBTDevAddr btAddress;
btAddress = addr.BTAddr();
TObexBluetoothProtocolInfo obexProtocolInfo;
obexProtocolInfo.iTransport.Copy( _L( «RFCOMM» ) );
obexProtocolInfo.iAddr.SetBTAddr( btAddress );
obexProtocolInfo.iAddr.SetPort( 9 );
if ( ( iClient = CObexClient::NewL( obexProtocolInfo ) ) )
{
iStatus = KRequestPending;
BluetoothStatus = _BLUETOOTH_NOT_CONNECTED;
Cancel();
iClient->Connect( iStatus );
SetActive();
}
}
else
{
BluetoothStatus = _BLUETOOTH_CONNECTED;
}
}

Pbstealer

Остановимся еще на одном «наследнике» Cabir, а именно на первом троянце-шпионе для Symbian — Pbstealer. Созданный в Азии, скорее всего в Китае, он был обнаружен на одном из взломанных корейских сайтов, посвященных онлайновой игре Legend of Mir. Такой способ распространения и явно криминальная направленность троянца продемонстрировали, как используются «благие намерения» автора Cabir.

От Cabir была взята все та же функция рассылки файлов через Bluetooth. Однако авторы троянца внесли одно, но значительное изменение в оригинальный код. Троянец ищет адресную книгу телефона и отсылает данные из этой книги через Bluetooth на первое из найденных устройств. Отсюда и его название Pbstealer — «Phonebook Stealer». До сих пор для кражи подобной информации злоумышленники использовали различные уязвимости в самом протоколе Bluetooth, например BlueSnarf. С появлением этого троянца возможности преступников значительно расширились.

И, конечно же, Cabir стал излюбленным «носителем» для всевозможных других троянцев. Более половины различных Skuller, Appdisabler, Locknut, Cardtrap и прочих «вандалов» содержат в себе Cabir, измененный так, чтобы он рассылал не только себя, но и весь троянский «пакет». Подобное поведение и гибридизация вредоносных программ повлекли за собой существенные трудности в классификации многих вредоносных программ, о чем мы еще поговорим ниже.

Comwar

Второй вехой в развитиии мобильных зловредов стал Comwar. Это первый червь, распространяющийся через MMS. Как и Cabir, он способен рассылаться через Bluetooth, однако именно MMS является его основным способом размножения, и, если учитывать его масштаб, наиболее опасным из всех возможных.

Радиус действия Bluetooth составляет 10-15 метров, и заражению могут быть подвержены другие устройства только в этих пределах. MMS границ не имеет и способен мгновенно пересылаться на телефоны даже в другие страны.

Автор Cabir изначально обдумывал эту идею, но затем отказался от нее в пользу Bluetooth из вполне очевидных (для идеологии 29A) соображений:

«mms: Its easy to route over the agent searching phone numbers and sending them a mms message with the worm attached, but we have two problems:

  • We dont know what type of phone are we sending the mms. We dont know if that phone is able to receive mms message or if it could execute the worm.
  • We are spending the money of the phone.»

Второй пункт весьма показателен: из него следует, что автор Cabir не хотел наносить какой-либо финансовый ущерб пользователям. Автора Comwar подобная проблема вообще не волновала.

Технология рассылки через MMS является самой привлекательной для мобильных вирусописателей, однако пока мы сталкивались только с обычными трюками над оригинальным червем — когда некоторые «недохакеры» ограничивались изменением имен файлов и текстов внутри оригинальных файлов, не изменяя функционал Comwar. Это связано с тем, что исходные коды Comwar не были опубликованы и процедура отправки зараженных MMS неизвестна script-kiddies.

В настоящий момент нам известно 7 модификаций данного червя, из которых четыре являются «авторскими».

Comwar.a:

CommWarrior v1.0b (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.

Comwar.b:

CommWarrior v1.0 (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.

Comwar.c:

CommWarrior Outcast: The dark side of Symbian Force.
CommWarrior v2.0-PRO. Copyright (c) 2005 by e10d0r
CommWarrior is freeware product. You may freely distribute it
in it’s original unmodified form.
With best regards from Russia.

Comwar.d:

Не содержит отличительных текстов. Тексты MMS изменены на другие, на испанском языке.

Comwar.e:

WarriorLand v1.0A (c) 2006 by Leslie

Также имеет тексты на испанском языке.

Comwar.f:

Не содержит отличительных текстов. Тексты MMS изменены на другие, на испанском языке.

Comwar.g:

CommWarrior Outcast: The Dark Masters of Symbian.
The Dark Side has more power!
CommWarrior v3.0 Copyright (c) 2005-2006 by e10d0r
CommWarrior is freeware product. You may freely distribute it in it’s original unmodified form.

Кроме этого, в варианте .g автор червя впервые применил возможность заражения файлов. Червь ищет на телефоне другие sis-файлы и дописывает себя в них. Таким образом он получает еще один способ распространения, помимо традиционных MMS и Bluetooth.

Можно заметить, что пока еще Comwar не стал «родителем» множества других семейств, и это напрямую связано с недоступностью его исходного кода. Его используют в качестве «носителя» для других троянских программ, точно так же, как и Cabir. Пожалуй, единственной из всех вредоносных программ, использующих Comwar в своих целях, на статус родоначальника самостоятельного семейства претендует только StealWar. Это червь, в котором объединены Cabir, Comwar и троянец Pbstealer. Подобный «комбайн» имеет повышенную опасность и способность к размножению.

Однако сам принцип MMS-рассылок неминуемо станет превалирующим среди других способов размножения мобильных вирусов. Тем более, что уже известно о наличии серьезной уязвимости в обработке MMS на операционной системе Windows Mobile 2003, которая приводит к переполнению буфера и выполнению произвольного кода. Об этом было сообщено Collin Mulliner в августе этого года на конференции DefCon.


Демонстрация работы уязвимости в MMS (Collin Mulliner, доклад Advanced Attacks Against PocketPC Phones).

Подробности данной уязвимости закрыты от публики до выхода обновления от компании Microsoft, но опасность от этого меньше не становится. Если будет создан червь, автоматически, без пользовательского участия, запускающий себя на исполнение при попадании в смартфон, это может стать причиной глобальной вирусной эпидемии.

Говоря о том, что еще привнес Comwar в мобильные вирусы, следует отметить, что именно в нем (вариант .c) впервые была применена технология, которую можно считать руткитом. Червь скрывает себя в списке процессов и не виден в стандартном списке запущенных приложений. Это возможно из-за того, что он устанавливает тип своего процесса как «системный». Конечно, при помощи других программ, позволяющих просматривать списки запущенных процессов, он может быть легко обнаружен. В настоящее время подобный способ маскировки используют и некоторые другие вредоносные программы для Symbian.

Skuller

Как уже было сказано выше, Skuller представляет самое многочисленное семейство мобильных троянцев — на 1 сентября 2006 года нами классифицирован 31 вариант. Это неудивительно, поскольку это самые примитивные из всех возможных symbian malware. Создать подобного троянца под силу любому человеку, умеющему пользоваться утилитой для создания sis-файлов. Все остальное сделают уязвимости Symbian: возможность перезаписи любых файлов, включая системные, и крайняя неустойчивость системы при ее столкновении с неожиданными (нестандартными для данного дистрибутива либо поврежденными) файлами.

В основе большинства вариантов Skuller лежат два файла. Именно их мы и называем Skuller.gen, и именно они имеют особенности, отличающие это семейство от похожих по функционалу (например, Doombot или Skudoo):

  • файл с именем подменяемого приложения и расширением «aif», размером 1601 байт. Это файл-иконка с изображением черепа. Файл также содержит в себе текстовую строку «↑Skulls↑Skulls»;
  • файл с именем подменяемого приложения и расширением «app», размером 4796 байт. Это приложение EPOC, файл-«пустышка», который не содержит никакого функционала.

Проблемы классификации

Одной из основных проблем мобильной вирусологии является классификация. Под классификацией я имею в виду присвоение новым вирусам соответствующего класса, должного отражать их тип и поведение. При этом возникает ряд сложностей из-за того, что, как мы уже отмечали, мобильные зловреды отличаются повышенной склонностью к межвидовому скрещиванию — «гибридизации».

Классификация, используемая «Лабораторией Касперского», имеет четкую структуру:

  • Вердикт поведения. Отвечает на вопросы «кто это?» и «что делает?». Примеры: Email-Worm, Trojan-Downloader, Trojan-Dropper.
  • Среда существования, необходимая для работы. Может быть либо названием операционной системы, либо конкретным приложением. Примеры: Win32, MSWord, Linux, VBS.
  • Название семейства и буква варианта.

С последним пунктом почти не бывает проблем. Каждая вредоносная программа имеет свое уникальное название. Трудность составляет лишь выбор названия, но об этом подробнее будет рассказано ниже.

Небольшие проблемы могут возникать при определении среды существования мобильного вируса. В большинстве случаев мы имеем дело с программами для операционной системы Symbian и используем для них префикс SymbOS. Однако мы сталкиваемся с тем, что все чаще и чаще пользователям требуется уточняющая информация: работает ли данный зловред только на Symbian Series 60 SE или может работать также на Series 80? А возможно, он функционирует только на Series 80? А что насчет Series 90? Для OS Windows у нас в классификации существует подобное разделение: Win16, Win9x, Win32. Я не исключаю того, что в будущем нам действительно понадобится вводить некоторые цифровые обозначения в префикс SymbOS.

Но это самая легкая часть проблемы, связанной со вторым пунктом. Если мы посмотрим на другую мобильную платформу — Windows, то увидим гораздо более запутанную ситуацию.

У нас есть вирусы, которые были написаны для Windows CE 2003. Именно для них в нашей классификации был создан префикс WinCE. Однако вредоносные программы, созданные для Windows Mobile 5.0, не могут функционировать на старой платформе. А название Windows CE не совсем правильно использовать как синоним для Windows Mobile или Pocket PC, хотя они все являются разными реализациями платформы Windows CE. Каждая из них использует свой набор компонентов Windows CE плюс свой набор сопутствующих особенностей и приложений.

Таким образом, мы не можем отразить в существующей классификации точное название платформы, необходимое для функционирования конкретного вируса. Кроме того, ряд вирусов требует для своей работы установленного расширения .NET для WinCE/Windows Mobile. Для них мы используем стандартный префикс MSIL, что абсолютно не указывает на то что, данный вирус — мобильный.

Вы уже запутались? Погодите, это все еще самые небольшие проблемы с классификацией. Мы подходим к самой запутанной части классификации — присвоению вирусу конкретного типаповедения. Здесь проблемы возникают в связи с «гибридизацией», появлением кроссплатформенных вредоносных программ для мобильных устройств и разными подходами к классификации у разных антивирусных компаний.

Рассмотрим некоторые примеры.

Вирусные аналитики «Лаборатории Касперского» периодически сталкиваются с ситуацией, когда некий sis-файл (являющийся по своей сути архивом-инсталлятором) содержит в себе набор файлов: червь Cabir, червь ComWar, троянец PbStealer, несколько файлов Skuller.gen, несколько «пустых» файлов (нулевого размера), которые специфичны для троянца Locknut и при этом он еще устанавливает на карту памяти телефона Win32-зловреда (как это делают троянцы Cardtrap).

С точки зрения существующей классификации мы должны были бы классифицировать данный файл как Trojan-Dropper. Но мы не можем так поступить! Установленный Cabir будет рассылать через Bluetooth не самого себя, а именно этот sis-файл. Значит, его тоже следует считать червем? Но какое же имя у него будет? Cabir? Нет, его нельзя назвать Cabir и дать ему новую букву варианта, потому что на 90% содержимое этого sis-файла не имеет ничего общего с Cabir и мы только запутаем пользователя.

Можно подумать о Skuller, о Locknut, о Cardtrap, но ни одно из этих названий не будет точным и правильным, потому что это «гибрид». Скорее всего, в итоге этот файл будет классифицирован как Trojan, а название семейства будет выбрано исходя из уже имеющихся в нашей коллекции аналогичных троянцев, по совпадению второстепенных признаков, например по явному указанию на общего автора.

Подобные трудности классификации крайне редки в мире компьютерных вирусов, но возникают в подавляющем большинстве случаев при классификации вирусов мобильных.

Возможно, по мере снижения числа примитивных троянцев-вандалов случаи, подобные описанному, будут становиться все более редкими и мир мобильных вирусов в этом плане станет более четким и структурированным.

Пример номер два. Червь, работающий на Win32. Будучи запущен на персональном компьютере, помимо всего прочего, создает на диске E: sis-файл ( как правило, Symbian-телефоны при подключении к компьютеру монтируются именно как диск E:). SIS-файл содержит в себе несколько файлов-пустышек и перезаписывает ими ряд системных приложений телефона. Также в файле содержится тот же самый Win32-червь, который копируется на карту памяти телефона и дополняется файлом autorun.inf.

Если такой зараженный телефон подключить к компьютеру и попытаться с него обратиться к карте памяти телефона — произойдет автозапуск червя и заражение компьютера.

Это пример кроссплатформенного вируса, который способен функционировать на совершенно разных операционных системах — Windows и Symbian. Такой червь уже существует и называется Mobler. Как классифицировать его?

Для кроссплатформенных вирусов у нас имеется префикс «Multi». Worm.Multi.Mobler? Но как из этого названия пользователи узнают, что данный червь опасен для Symbian-смартфонов? На наш взгляд, правильным является разделение его на две составляющие: win32-файл классифицировать как Worm.Win32.Mobler, а sis-файл как Worm.SymbOS.Mobler. Проблема в том, что другие антивирусные компании классифицируют sis-файл не как Mobler и не как червь. Они называют его Trojan.SymbOS.Cardtrap, потому что, согласно их классификации, любые зловреды, которые устанавливают Win32-зловреды на карты памяти телефона, — это Cardtrap. Но ведь он устанавливает не какого-то постороннего троянца. Он устанавливает свою основную компоненту, свою копию — только для другой операционной системы. Однако жесткие рамки существующих в антивирусных компаниях классификаций заставляют пытаться втиснуть в это прокрустово ложе все подобные нестандартные случаи. В конечном итоге от этого проигрывают все — и пользователи, и антивирусные компании.

Если же исходить из того, что способы распространения и поведения в системе у ряда мобильных вирусов кардинально отличаются от всего ранее известного, то и для отражения этих особенностей также необходимы новые классы. Например, Cabir (и любые черви, распространяющиеся через BlueTooth) логично называть Bluetooth-Worm (и сюда же можно было бы отнести червь Inqtana для MacOS). Черви, которые рассылают себя через MMS, назовем MMS-Worm. А что делать если червь рассылает себя и через BlueTooth и через MMS? Какой из двух способов распространения является «главным»? В «Лаборатории Касперского» могут считать, что MMS. Другие антивирусные компании могут полагать, что Bluetooth.

Троянец, который посылает с зараженного телефона SMS на платные номера, — это очевидно Trojan-SMS. А троянец, который перехватывает все входящие и исходящие SMS и отсылает их злоумышленнику, — это Trojan-Spy или тоже Trojan-SMS? Какое обозначение будет более понятным для пользователя и покажет риск от заражения?

Подобных вопросов и примеров я могу насчитать десятки…

Антивирусная индустрия рано или поздно столкнется с необходимостью создания единой классификации для мобильных вирусов. Это необходимо сделать как можно скорей, пока ситуация еще не стала критической и не началась путаница, схожая с путаницей в названиях одних и тех же компьютерных вирусов у разных антивирусных вендоров. К сожалению, опыт того, что для компьютерных вирусов так и не удалось создать общую (устраивающую всех) классификацию, не придает большого оптимизма.

Продолжение следует…

Введение в мобильную вирусологию, часть I

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Азиатские APT-группировки: тактики, техники и процедуры

Делимся с сообществом подходами, которые используют азиатские APT-группировки при взломе инфраструктуры, и подробной информацией о тактиках, техниках и процедурах (TTPs) злоумышленников, основанной на методологии MITRE ATT&CK.

Как поймать «Триангуляцию»

Эксперты «Лаборатории Касперского» смогли получить все этапы «Операции Триангуляция»: эксплойты нулевого дня для iOS, валидаторы, имплант TriangleDB и дополнительные модули.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике