Основанные на платформе Windows CE от Microsoft, варианты операционных систем для карманных компьютеров, наладонников и коммуникаторов (Pocket PC и Windows Mobile), некогда весьма популярные, постепенно теряют свои позиции под натиском более молодых и успешных игроков.
Однако, несмотря на продолжающееся снижение популярности, за время своего существования предыдущие версии мобильных систем от Microsoft не раз становились целью вирусописателей.
Первопроходцы
WinCE.Dust
2004 год ознаменовался появлением вируса WinCE.Dust. Dust — первый файловый вирус, созданный для платформы Windows CE членом хакерской группы 29A по кличке Ratter и работающий на процессорах с архитектурой ARM. Вирус является концептуальным, призванным доказать, что заражение исполняемых файлов в мобильной платформе от Microsoft возможно.
BackDoor.Bra
BackDoor.Bra (известен также как Brador) — первый троянец-бэкдор для семейства мобильных операционных систем от Microsoft. После активации троянец помещал свою копию в системный каталог автозагрузки, тем самым обеспечивая свой автоматический запуск при включении устройства.
Черви в системе
Не обошли стороной мобильную систему от Microsoft и черви. Несмотря на то, что для этой платформы их число невелико, по сравнению с настольными системами, существующие образцы, несомненно, интересны.
WinCE.PMCryptic.1 — полиморфный червь-компаньон, поражающий мобильные устройства под управлением Windows Mobile и распространяющийся между устройствами через карты памяти. На сегодняшний день это единственная известная вредоносная программа, использующая полиморфизм на данной ОС.
Для обмана пользователя червь использовал довольно широко распространенный способ, применяемый многими вредоносными программами в настольных ОС Windows: он маскировался под обычный каталог, используя соответствующую иконку.
Еще один червь для платформы Windows CE — WinCE.Wanshi.1 (InfoJack, Mepos.A, Infomeiti в классификации других вендоров). В отличие от WinCE.PMCryptic.1, он представлял более серьезную опасность для пользователей, т. к. мог попасть к ним в установочных CAB-файлах вместе с легитимными приложениями и при этом обладал довольно серьезным функционалом.
Червь собирал конфиденциальную информацию с зараженного устройства (IMEI, версию системы, номер абонента и т. п.) и отсылал ее на специальный сервер. Также он мог загружать файлы из Интернета (например, другие программы) и запускать их. Ко всему прочему, он мог отсылать СМС, получая для этого необходимые настройки из Всемирной сети.
СМС-троянцы
Как и в большинстве мобильных платформ, угроза СМС-троянцев в Windows Mobile тоже присутствует, и, пожалуй, на данный момент это одна из основных угроз для данной операционной системы.
Первые СМС-троянцы для платформы WinCE отправляли сообщения по заранее указанным в их коде параметрам. Но через некоторое время появились вредоносные программы, которые могли получать соответствующие параметры из Интернета. К таким троянским программам относятся, например, WinCE.Serv.1 и WinCE.Serv.2.
Эти троянцы действовали сообща. Первый отвечал непосредственно за отправку платных СМС. Необходимые для своей работы настройки он получал из Интернета, соединяясь с определенным адресом в сети. Второй компонент также получал настройки из Интернета, однако в его функции входила загрузка исполняемых файлов.
Троянские программы для мобильной ОС от Microsoft, отправляющие СМС и загружающие конфигурацию из Интернета, — скорее исключение из общей массы, т. к. подавляющее большинство СМС-троянцев для Windows Mobile достаточно просты и могут лишь отправлять сообщения, используя жестко прописанные в их коде параметры, такие как номера и тексты для отправки.
Поговорим?
Еще одной интересной вредоносной программой является WinCE.Dialer.1. Это троянская программа-дозвонщик, совершающая дорогостоящие звонки, нанося тем самым материальный вред владельцу инфицированного мобильного устройства. Троянец был помещен в установочный файл игры и распространялся на иностранных сайтах, посвященных карманным компьютерам.
Карманный шпион
Для ОС Windows Mobile также существуют и коммерческие программы-шпионы. По функционалу они находятся примерно на одинаковом уровне и предоставляют такие возможности, как слежение за звонками, СМС, координатами GPS и т. д. К таким программам относятся Mobile Spy, Flexispy, Mobistealth и другие.
Рассмотрим в качестве примера одну из этих программ.
Программа Mobile Spy — классическая программа-шпион (монитор), которая позиционируется как средство для контроля вашего собственного мобильного устройства, а также устройств близких людей и подчиненных работников. Но, несмотря на это, программу можно также использовать и в целях менее благородных, так как она скрывает свое присутствие в системе, а попасть в меню настроек можно лишь зная специальный код.
Данная программа внесена в вирусные базы Dr.Web под именем WinCE.MobileSpy.5.
Александр Горячев, аналитик компании "Доктор Веб"