apq

Виктор Яблоков рассказывает в своем блоге о безсигнатурной защите от смс-троянов на Windows Mobile

В этой теме 1 сообщение

Сегодня мы поговорим о методе бессигнатурной защиты от набравших в последнее время обороты SMS-Trojans, опустошающих счета пользователей путем скрытой отправки SMS на премиум номера. Предложенный в статье способ будет полезен обладателям смартфонов на базе операционной системы Windows Mobile 5.0/6.*.

sms_protection.jpg

В последнее время самыми популярными вирусными угрозами для смартфонов являются троянские программы, осуществляющие скрытую рассылку дорогостоящих SMS на премиум-номера, контролируемые злоумышленниками, при этом стоимость одного такого SMS варьируется от нескольких десятков до 3-5 сотен отечественных рублей, так что опустошение счета происходит практически мгновенно. Вернуть деньги в таких случаях, как показывает практика, практически невозможно.

Троянские программы данного типа известны уже более 4х лет. Первым, напомню, был появившийся в феврале 2006 Redbrowser и долгое время остававшийся единственным семейством. Ситуация начала меняться около полутора лет назад, и в настоящее время новые предствители различных семейств SMS-Trojans в среднем появляются примерно раз в день, в то же время пользователи смартфонов пока не имеют культуры ежедневного обновления баз, а в ряде случаев и вовсе не устанавливают на свои смартфоны антивирусные решения. Кроме того, не стоит забывать о реактивном характере сигнатурной защиты, не обеспечивающем немедленную защиту от вновь появляющихся угроз. В этой ситуации на помощь могут придти проактивные методы, к коим можно отнести принудительную блокировку исходящих SMS на премиум-номера функцией "Родительский Контроль" решения Kaspersky Mobile Security. "При чем тут Родительский Контроль?", - спросите вы. Дело в том, что премиум- номера, используемые злоумышленниками, как правило состоят из четырых цифр (встречаются, конечно, и трехзначные, например, в Индонезии, но блокировка их осуществляется аналогично). Для запрета рассылки премиум-SMS на такие номера достаточно создать одно правило, запрещающее отправку сообщений на четырехзначные номера (правило создается добавлением записи "????" в черный список).

Данный способ поможет выстроить защиту от абсолютно всех SMS-Trojans, будь то вредоносные программы на J2ME или на WinCE Api. Достаточно создать одно правило - и Вы защищены. Просто, не правда ли? smile.gif

Trojan-SMS.J2ME.Agent.ag В качестве доказательства работоспособности защиты я попросил уважаемого apq проверить работу метода на произвольном трояне, коим по воле выбора стал Trojan-SMS.J2ME.Agent.ag.

Trojan_SMS.J2ME.Agent_.ag_.png

Метод сработал штатно и заблокировал отправку SMS на номер 5121, о чем можно посмотреть запись в журнале Родительского контроля KMS.

В заключение отмечу, что описанный в статье способ поможет организовать бессигнатурную защиту и от набирающих в последнее время обороты вредоносных программ, опустошающих счета пользователей путем звонков на платные номера. При этом в отличии от SMS-Trojans вредоносные программы этого типа уже выходят на глобальный уровень, о чем говорят недавно появившиеся Trojan.WinCE.Terdial.a и Trojan.WinCE.Terdial.b.

http://www.anti-malware.ru/node/2462

post-6659-1271879172_thumb.png

post-6659-1271879249.jpg

2

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

Создайте учетную запись или войдите, чтобы комментировать

Вы должны быть пользователем, чтобы оставить комментарий

Создать учетную запись

Зарегистрируйте новую учётную запись в нашем сообществе. Это очень просто!


Регистрация нового пользователя

Войти

Уже есть аккаунт? Войти в систему.


Войти с помощью Facebook Войти Войти с помощью Twitter
Anti-Malware.ru Вконтакте   Anti-Malware.ru в Facebook   Anti-Malware.ru в Twitter   Anti-Malware.ru в LinkedIn   RSS
  • Сообщения

    • Wenderoy
      Это не вранье. В программе действительно присутствует эвристический анализатор, который способен обнаружить и заблокировать даже новые и неизвестные разновидности тронов-шифровальщиков, и не только. Брандмауэр закрывает опасные порты и контролирует входящий и исходящий трафик, в случае опасности блокирует соединение. Все сделано для обеспечения максимально защищенной рабочей среды.
    • Wenderoy
      Интерфейс на английском языке потому, что я распространяю продукт не только на территории России. И вообще, Вам не надоело меня во всех грехах обвинять?   Тремя - это многими? Эта тема на Вашем форуме: https://provisionsecurity.ru/threads/4037/ Я не слизывал его батники. Вы хотя бы видели Иммунитет вживую? Там абсолютно другой код. А свои модули я писал еще с прошлой весны, с того "Защитника".   Еще скажите, что я декомпилировал Symantec, подстроил его под себя или что-то еще. Антивирус написан мной - это я сидел неделю безвылазно только для того, чтобы создать хороший продукт, а теперь меня обвиняют в воровстве. Или это специально, чтобы умышленно и, самое главное, ложью опустить меня до уровня копипастера? (слово не то, но и так ясно)
    • ANDYBOND
      Я имел в виду на мошенника и вирусописателя Куранина написать жалобу. А REG.RU не станет ему ничего пересылать, тем более, что жалобу не REG.RU писать надо, а выше.
    • ANDYBOND
      "Клевета", подтверждаемая многими антивирусными вендорами, является правдой.
    • ANDYBOND
      Не гадай: не угадаешь. Ибо законы тобою не читаны.  Зато есть мифическая тётя-юрист. Якобы.