Cabir
Первый сетевой червь, распространяющийся через протокол Bluetooth и заражающий мобильные телефоны, работающие под управлением OS Symbian.
Потенциально заражению могут оказаться подвержены все мобильные телефоны, использующие платформу Symbian.
Червь представляет собой файла формата SIS, caribe.sis. Размер файла - 15092 байт (или 15104 байт). При запуске червь выводит на экран сообщение "Caribe" (или "Caribe - VZ/29a"), и затем инсталлирует себя в различные каталоги.
При каждом включении зараженного телефона червь получает управление и начинает сканировать список активных Bluetooth-соединений. Затем червь выбирает первое доступное соединение из списка и пытается передать туда свой основной файл "caribe.sis". В этом случае у пользователя принимающего телефона на экран выводится сообщение: Принять сообщение по каналу Bluetooth от .....
В случае, если пользователь подтвердит прием файла, то его телефон примет зараженный файл и предложит запустить его на исполнение . Червь не содержит никакой побочной функциональности, кроме саморазмножения. Однако зараженный телефон может работать нестабильно, из-за постоянного наличия червя в памяти и его попыток сканирования активных Bluetooth-устройств.
Также есть другие вирусы:
Comwar
Это первый червь, распространяющийся через MMS. Как и Cabir, он способен рассылаться через Bluetooth, однако именно MMS является его основным способом размножения, и, если учитывать его масштаб, наиболее опасным из всех возможных.
Радиус действия Bluetooth составляет 10-15 метров, и заражению могут быть подвержены другие устройства только в этих пределах. MMS границ не имеет и способен мгновенно пересылаться на телефоны даже в другие страны.
Lasco
Помимо функций червя обладает способностью заражения файлов на телефоне. Именно история с появлением Lasco является очень хорошей иллюстрацией того, к чему ведет публикация в открытых источниках кодов вирусов. Некий бразилец Маркос Веласко, называющий себя экспертом в области мобильных вирусов, заполучил исходники Cabir и занялся откровенным вирусописательством. В течение последней недели 2004 года он послал в антивирусные компании сразу несколько собственных переделок Cabir, часть которых была абсолютно неработоспособна. Все они были классифицированы антивирусными компаниями как новые варианты Cabir. Такая классификация весьма не понравилась автору, и он, в попытках прославиться, создал вариант червя, который мог еще и заражать sis-файлы. Так в антивирусных базах появился червь Lasco.
К счастью, идея заражения файлов не получила дальнейшего распространения среди вирусописателей, даже несмотря на то, что Веласко опубликовал исходные коды своего творения на собственном сайте.
До сих пор нет полной ясности в том, действительно ли в основу Lasco лег Cabir. Маркос утверждал, что он написал весь код самостоятельно, однако количество файлов, их имена, размер и принцип работы во многом совпадают с Cabir. Вы можете сами сравнить одну из основных функций в обоих червях и сделать собственные выводы.
Pbstealer
От Cabir была взята все та же функция рассылки файлов через Bluetooth. Однако авторы троянца внесли одно, но значительное изменение в оригинальный код. Троянец ищет адресную книгу телефона и отсылает данные из этой книги через Bluetooth на первое из найденных устройств. Отсюда и его название Pbstealer — «Phonebook Stealer». До сих пор для кражи подобной информации злоумышленники использовали различные уязвимости в самом протоколе Bluetooth, например BlueSnarf. С появлением этого троянца возможности преступников значительно расширились.
Skuller
Как уже было сказано выше, Skuller представляет самое многочисленное семейство мобильных троянцев — на 1 сентября 2006 года нами классифицирован 31 вариант. Это неудивительно, поскольку это самые примитивные из всех возможных symbian malware. Создать подобного троянца под силу любому человеку, умеющему пользоваться утилитой для создания sis-файлов. Все остальное сделают уязвимости Symbian: возможность перезаписи любых файлов, включая системные, и крайняя неустойчивость системы при ее столкновении с неожиданными (нестандартными для данного дистрибутива либо поврежденными) файлами.
В основе большинства вариантов Skuller лежат два файла. Именно их мы и называем Skuller.gen, и именно они имеют особенности, отличающие это семейство от похожих по функционалу (например, Doombot или Skudoo):
файл с именем подменяемого приложения и расширением «aif», размером 1601 байт. Это файл-иконка с изображением черепа. Файл также содержит в себе текстовую строку «↑Skulls↑Skulls»;
файл с именем подменяемого приложения и расширением «app», размером 4796 байт. Это приложение для Symbian, файл-«пустышка», который не содержит никакого функционала.
Ozicom
Ozicom можноа спокойно слать по эл.почте и конечно по зубу. Вирус хоть и старый, но неизвестный антивирусной науке! После установки на телефон, почти у всех заводских прог иконки становяться как у 7650 и название их в квадратиках. Попасть в эти прогу уже нельзя (за исключением режимов, родного браузера). Для активации главной фишки виря, нужен рестарт телефона! После этого, взамен иконок от 7650 и название тех программ в квадратиках, появляются битые иконки (на v6.1 это не происходит) и названия в квадратиках, заменяются названиями на еврейском языке. Любители кода *#7370# сразу начнут его моментально набирать... Телефон не вернется к заводским настройкам и все останется как было!
Doomboot
Вирь замаскирован под игрушку(вроде Doom2), инсталляция проходит как неудачная, но вирь запускается. Дальше он активирует блютус-траффик и акк скоро умирает (около часа достаточно). После того, как человека ставит трубу на зарядку и включает её, запускается команда форматирования.
Предотварить форматироание можно удалением вируса до того момента, как умрет акк.