Ponad rok temu pojawił się Worm.SymbOS.Yxe – był to pierwszy szkodliwy pogram dla smartfonów działających pod kontrolą systemu Symbian S60, trzecia edycja, który posiadał ważny podpis cyfrowy. Od czasu do czasu pojawiały się kolejne wersje tego robaka – najnowszy wariant, Yxe.d, został wykryty w lipcu 2009.

Ostatnio wykryto nowy wariant, Worm.SymbOS.Yxe.e, który również posiada ważny podpis cyfrowy. Poprzednie modyfikacje robaka:

• Rozprzestrzeniały się za pośrednictwem wiadomości SMS zawierających odsyłacz do robaka
• Wykorzystywały socjotechnikę w celu oszukiwania ofiar
• Przechwytywały dane o smartfonie z urządzenia
• Wysyłały przechwycone dane do serwera cyberprzestępczego
• Próbowały wyłączyć aplikacje innych producentów zaprojektowane do pracy z systemem plików smartfona lub z aktywnymi aplikacjami

Oprócz wymienionych możliwości najnowsza modyfikacja potrafi również:

• Wysyłać wiadomości MMS zawierające odsyłacz do samego siebie, a w załączniku obraz przedstawiający czarno białą czaszkę (Skuller, Trojan, który pojawił się w 2004 roku, również wizytował się czaszką).
• Łączyć się z chińskim portalem społecznościowym
• Pobierać pliki
• Blokować Menedżera oprogramowania smartfonu, utrudniając usunięcie szkodliwego oprogramowania

Co jeszcze wiadomo na temat robaka Yxe.e? Szkodnik rozprzestrzenia się za pośrednictwem wiadomości MMS, ale dołącza obraz trupiej czaszki do samej wiadomości, a nie jej treści. Wiadomość zawiera odsyłacz - http://tran******.com - i sugeruje, że odbiorca ma okazję poznać prywatne informacje na temat chińskiej aktorki Zhang Zii.

Otwierając stronę, do której prowadzi odsyłacz, z zainfekowanego urządzenia trafiliśmy na ofertę pobrania i zainstalowania pliku o nazwie LanPackage.sisx, który ma rozmiar 57573 bajtów. Jednak otwarcie strony z przeglądarki zainstalowanej na komputerze daje wynik 404:

Innymi słowy, serwer sprawdza, czy żądanie połączenia się ze stroną pochodzi z przeglądarki urządzenia przenośnego.

Po uruchomieniu LanPackage.sisx ukazuje się następująca wiadomość:

Certyfikat wygląda następująco:

Jeżeli użytkownik zgodzi się na instalację, na jego urządzenie zostaną skopiowane następujące pliki:

• C:\sys\bin\Installer_SV.exe
• C:\sys\bin\LanPackage.exe – plik wykonywalny robaka
• C:\private\101f875a\import\[20028B98].rsc

Po zainstalowaniu robak zaczyna przechwytywać dane dotyczące smartfonu; przesyłać dane do serwera cyberprzestępczego; wysyłać wiadomości SMS zawierające odsyłacz do samego siebie do wszystkich kontaktów w książce adresowej; próbować wyłączyć AppMngr, TaskSpy, Y-Tasks, ActiveFile, TaskMan; oraz blokować dostęp do Menedżera oprogramowania w celu uniemożliwienia usunięcia go. Próbuje również połączyć się z chińskim portalem społecznościowym “Happy Net” i pobrać kolejny plik (w momencie pisania tego posta plik ten nie był dostępny).

Wygląda na to, że Worm.SymbOS.Yxe dorównuje takim szkodliwym programom jak Cabir czy Comwar. Cabir był pierwszym robakiem rozprzestrzeniającym się za pośrednictwem Bluetootha oraz pierwszym szkodnikiem stworzonym dla platform mobilnych; Comwar był pierwszym szkodnikiem rozprzestrzeniającym się za pośrednictwem MMS; Yxe był pierwszym szkodliwym programem na wolności posiadającym ważny certyfikat. Wiele wariantów Cabira i Comwara rozprzestrzeniało się z przerwami na długo po tym, jak zostały wykryte. Worm.SymbOX.Yxe ma ponad rok i wygląda na to, że w najbliższym czasie nie ma zamiaru zatrzymać swojej ewolucji ani zakończyć rozprzestrzeniania.

źródło: www.viruslist.com