Новая версия червя Yxe: главный зловред для Symbian-смартфонов вернулся

  Чуть больше года назад появился первый зловред для смартфонов под управлением операционной системы Symbian S60 3rd edition, имеющий легальную цифровую подпись: Worm.SymbOS.Yxe. Последующие модификации данного червя появлялись с различной периодичностью, последняя версия "d" была обнаружена в июле 2009 года.

  Обнаружена новая версия Worm.SymbOS.Yxe.e, которая также использует цифровую подпись. Предыдущие модификации обладали следующим функционалом:

• Размножение через SMS с ссылкой на себя
• Использование методов социального инжиниринга
• Сбор информации о смартфоне
• Отсылка собранной информации на удаленный сервер злоумышленника
• Попытка завершения работы сторонних программ, предназначенных для работы с файловой системой смартфона или с активными приложениями

  Новая модификация зловреда, помимо вышеперечисленного, будет осуществлять следующие действия:

• Рассылать MMS-сообщения с ссылкой на себя и прикрепленной черно-белой картинкой с изображением черепа
• Соединяться с веб-сайтом китайской социальной сети
• Загружать файлы
• Блокировать менеджер установленных приложений на смартфоне, из-за чего удаление вредоносной программы становится затруднительным

  Для своего распространения червь использует MMS-сообщения, однако к сообщению прикрепляется не тело червя, а черно-белая картинка с изображением черепа и перекрещенных костей. MMS содержит также текст, предлагающий посмотреть частную информацию, связанную с китайской актрисой Жанг Зии, и ссылку http://tran******.com.

  В том случае, если пользователь перейдет по ссылке со своего смартфона, то ему будет предложено загрузить и установить файл LanPackage.sisx размером 57573 байт. Если же попытаться перейти по той же самой ссылке с помощью обычного браузера на компьютере, то в окне браузера появится следующее сообщение:

  То есть удаленный сервер злоумышленника проверяет браузер, с которого идет запрос к сайту, и в том случае, если браузер не является мобильным, выдает ошибку 404.

  После запуска файла LanPackage.sisx пользователя спрашивают о разрешении на установку:

  Сведения о сертификате:

  В случае подтверждения установки на смартфон пользователя копируются следующие файлы:

• C:\sys\bin\Installer_SV.exe
• C:\sys\bin\LanPackage.exe - исполняемый файл червя Worm.SymbOS.Yxe.e
• C:\private\101f875a\import\[20028B98].rsc

  После установки червь начинает свою работу, то есть собирает данные о смартфоне и загружает их на сервер злоумышленника; рассылает MMS-сообщения с ссылкой на себя всем контактам из адресной книги пользователя; пытается завершить работу программ AppMngr, TaskSpy, Y-Tasks, ActiveFile, TaskMan, а также блокирует менеджер установленных приложений, препятствуя своему удалению.

  Помимо вышеперечисленного червь Yxe.e также пытается соединиться с сайтом китайской социальной сети "Happy Net" и загрузить еще один файл, который на момент написания новости был недоступен.

  Worm.SymbOS.Yxe, появившийся год назад, стал, к сожалению, в один ряд с такими зловредами, как Cabir и Comwar. Cabir был первым Bluetooth-червем и первым зловредом для мобильных платформ; Comwar первым использовал MMS-сообщения для своего распространения; Yxe стал первой in-the-wild вредоносной программой, подписанной легальным сертификатом. Распространение с различной интенсивностью множества модификаций "первопроходцев" Cabir'а и Comwar'а шло не один год. Worm.SymbOS.Yxe действует уже более года, и, похоже, не собирается останавливаться на "достигнутом".