Описание вредоносного ПО

Зловредная парочка

Пару дней назад на некоторых сайтах в Рунете, распространяющем ПО для смартфонов и КПК появились жалобы на то, что практически все новые CAB-файлы (установочные архивы для смартфонов с ОС Windows Mobile) содержат «лишних» 2 исполняемых файла. Причем оба файла встречались в архивах с совершенно разными программами или играми.

Неудивительно, что оба файла оказались вредоносными. Первый файл, устанавливающийся в систему с именем srvupdater1.exe, на самом деле является троянцем-загрузчиком, детектируемым нами как Trojan-Downloader.WinCE.MobUn.a. Второй файл (устанавливается в систему под именем msservice.exe) оказался SMS-троянцем, который детектируется как Trojan-SMS.WinCE.MobUn.a.

Оба троянца получают параметры для своей работы с URL’а вида http://m*******t.ru/index.php?******=param.

Trojan-SMS.WinCE.MobUn пытается соединиться с данным URL’ом и, в случае успеха, загружает информацию с приведенной выше ссылки. Загружаемые данные имеют следующий вид:

  • param1 = 9;
  • param2 = 1;
  • param3= 1121;
  • param4= 2*************s;
  • param5=.

Где param1 – интервал между SMS-сообщениями; param2 – версия троянца; param3 – номер, на который будут отправляться SMS-сообщения (в данном случае сообщения отправляются на номер 1121, каждое стоит 3,5 рубля); param4 – текст SMS-сообщения; param5 – URL для загрузки новой версии троянца.

На момент написания данного блога param5 по-прежнему был пуст.

Что же касается загрузчика Trojan-Downloader.WinCE.MobUn, то он загружает ту же самую информацию с того же самого URL’а, однако данному зловреду интересен именно param5. Если он не пуст, то троянец загружает по указанной в param5 ссылке новую версию Trojan-SMS.WinCE.MobUn, после чего удаляет старую версию SMS-троянца, а новую запускает на исполнение:

Мы уже видели SMS-троянцев, которые загружают информацию для своей работы с удаленного сервера злоумышленников. Еще в 2008 году мы встречали зловредов для мобильных устройств, которые осуществляют попытки загрузки новых файлов с удаленного сервера(Worm.WinCE.InfoJack был первопроходцем). Однако появление троянца-загрузчика и SMS-троянца, работающих в одной связке, является новым шагом в эволюции вредоносных программ для мобильных устройств.

Зловредная парочка

Ваш e-mail не будет опубликован. Обязательные поля помечены *

 

Отчеты

CloudSorcerer: новая APT-угроза, нацеленная на российские государственные организации

«Лаборатория Касперского» обнаружила новую APT-угрозу CloudSorcerer, нацеленную на российские государственные организации и использующую облачные службы в качестве командных серверов аналогично APT CloudWizard.

StripedFly: двуликий и незаметный

Разбираем фреймворк StripedFly для целевых атак, использовавший собственную версию эксплойта EternalBlue и успешно прикрывавшийся майнером.

Подпишитесь на еженедельную рассылку

Самая актуальная аналитика – в вашем почтовом ящике