Новая информация о Worm.SymbOS.Yxe.eАвтор: Денис Масленников
Вчера мы сообщили об обнаружении новой версии червя Worm.SymbOS.Yxe.e. Что же нового удалось выяснить?
Для своего распространения червь использует MMS-сообщения, однако к
сообщению прикрепляется не тело червя, а черно-белая картинка с
изображением черепа и перекрещенных костей. MMS содержит также текст,
предлагающий посмотреть частную информацию, связанную с китайской
актрисой Жанг Зии, и ссылку http://tran******.com.
В том случае, если пользователь перейдет по ссылке со своего
смартфона, то ему будет предложено загрузить и установить файл
LanPackage.sisx размером 57573 байт. Если же попытаться перейти по той
же самой ссылке с помощью обычного браузера на компьютере, то в окне
браузера появится следующее сообщение:
То есть удаленный сервер злоумышленника проверяет браузер, с
которого идет запрос к сайту, и в том случае, если браузер не является
мобильным, выдает ошибку 404.
После запуска файла LanPackage.sisx пользователя спрашивают о разрешении на установку:
Сведения о сертификате:
В случае подтверждения установки на смартфон пользователя копируются следующие файлы:
- C:\sys\bin\Installer_SV.exe
- C:\sys\bin\LanPackage.exe - исполняемый файл червя Worm.SymbOS.Yxe.e
- C:\private\101f875a\import\[20028B98].rsc
После установки червь начинает свою работу, то есть собирает данные
о смартфоне и загружает их на сервер злоумышленника; рассылает
MMS-сообщения с ссылкой на себя всем контактам из адресной книги
пользователя; пытается завершить работу программ AppMngr, TaskSpy,
Y-Tasks, ActiveFile, TaskMan, а также блокирует менеджер установленных
приложений, препятствуя своему удалению.
Помимо вышеперечисленного червь Yxe.e также пытается соединиться с
сайтом китайской социальной сети "Happy Net" и загрузить еще один файл,
который на момент написания данного постинга был недоступен.
Worm.SymbOS.Yxe, появившийся год назад, стал, к сожалению, в один ряд с такими зловредами, как Cabir и Comwar.
Cabir был первым Bluetooth-червем и первым зловредом для мобильных
платформ; Comwar первым использовал MMS-сообщения для своего
распространения; Yxe стал первой in-the-wild вредоносной программой,
подписанной легальным сертификатом. Распространение с различной
интенсивностью множества модификаций "первопроходцев" Cabir'а и
Comwar'а шло не один год. Worm.SymbOS.Yxe действует уже более года, и,
похоже, не собирается останавливаться на "достигнутом".
| 
