Перейти к содержанию
Viktor

Нужен ли антивирус для смартфона?

Recommended Posts

hEx
Подниму тему. Спорить по поводу необходимости вирусов для мобильных устройств не буду, хочу только задать производителям моб. антивирусов пару вопросов. Первые два всем вендорам:

1) есть ли сейчас хотя бы один вирус для Symbian 9.x (кроме того примера, который я указал в 3 вопросе)? На сайте касперского в видео про KMS есть упоминание Сергея Невструева про какие-то мифические вирусы для Symbian s60 3rd edition.

Сэмплов не прошу, хотя бы название и описание того, что вирус делает.

2) есть ли сейчас хотя бы один j2me зловред, делающий свою работу без запроса пользователя? Опять же, тоже самое, что по первому вопросу.

1. Есть. Они не мифические, а реально существующие. Пример номер раз: Worm.SymbOS.Yxe. Нам известно 4 модификации, все были подписаны сертфикатом и преспокойно работали на Symbian S60 3rd edition. Червь - ITW в Китае, размножается через отправку SMS сообщений. Номера телефонов берет из адресной книги зараженного телефона. Подробнее - здесь

Второй пример: Trojan-SMS.SymbOS.Lopsoy. Нам известно 2 модификации для Symbian S60 3rd edition. Все подписаны легальным сертификатом.

Третий пример: not-a-virus.Porn-Dialer.SymbOS.Pornidal.c. Программа не является вредоносной, однако опустошить баланс может легко. Особенно если не читать EULA. Подробнее - здесь

2. Нет, таковых замечено не было.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor

Мои 5 копеек :)

1) есть ли сейчас хотя бы один вирус для Symbian 9.x (кроме того примера, который я указал в 3 вопросе)? На сайте касперского в видео про KMS есть упоминание Сергея Невструева про какие-то мифические вирусы для Symbian s60 3rd edition.

Сэмплов не прошу, хотя бы название и описание того, что вирус делает.

К сказанному Hex добавлю - практически все J2ME-зловреды идут на Symbian 9.x, таким образом, общее число зловредов под эту платформу составляет несколько сотен штук

2) есть ли сейчас хотя бы один j2me зловред, делающий свою работу без запроса пользователя? Опять же, тоже самое, что по первому вопросу.

Смотрите, появляется ли запрос на отправку смс или нет, зависит от настроек телефона. При одной конфигурации абсолютно все J2ME-рояны перед отправкой смс будут запрашивать подтверждение, при другой - не будет ни один. Здесь прослеживается прямая аналогия с вирьем под s60 1st&2nd, где запускаемость абсолютно всех зловредов зависила только от настроек телефона.

3ий вопрос конкретно ЛК.

Есть такой .. производитель мобильных игр для symbian 9.x - Moby.

Отдельно расскажу про их политику распространения игр. Их представитель на крупных зарубежных форумах выкладывают триал под видом кряка. Админы русскоязычных мобильных порталов, не проверяя, добавляют игру к себе на сайты. Восторженные пользователи качают игру, а потом матерятся.

При запуске каждой игры показывается коряво составленное лицензионное соглашение, в котором ни одного упоминания о платности игры. Разработчики представляются альтруистами.

Самое интересное происходит при запуске игры. Во время заставки, без какого либо запроса, отправляется смс стоимостью ~75 рублей. Смс отправляется только если в настройках телефона стоит русский язык. Если включён автономный режим, игра не запускается.

Получается, это некая модификация Viver. Почему же тогда хвалёный KMS не узнаёт его?

Дайте ссылку на конкретную игру. Если она действительно отправляет премиум-смс и об этом нет никакого упоминания ни в лицензионном соглашении, ни в правилах игры - ей место в базах, присылайте сэмпл на [email protected]

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nogarbage

hEx, Viktor, спасибо за ответы, не знал, что для 9-ки что-то есть. Их всего 3 или это только примеры были (именно для symbian 9)?

Дайте ссылку на конкретную игру. Если она действительно отправляет премиум-смс и об этом нет никакого упоминания ни в лицензионном соглашении, ни в правилах игры - ей место в базах, присылайте сэмпл на [email protected]

отправил сэмпл.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
hEx, Viktor, спасибо за ответы, не знал, что для 9-ки что-то есть. Их всего 3 или это только примеры были (именно для symbian 9)?

В своем предыдущем сообщении я писал, что практически все J2ME-трояны работают и под S60 3rd. Если же Вас интересуют только зловреды на с++, то данный выше список тоже можно расширить. Например, есть Trojan.SymbOS.Kinap (около десятка модификаций), автором которого, кстати, является студент из России

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Любой вирус на мобильный гаджет, сможет проинсталироваться только при инициативе пользователя, будь то синхронизация с компьютера, флешка и т.д. Т.е. только при методах соц. инженерии и тупости пользователя :)

Поэтому солидарен с Valery Ledovskoy.

Про айфон отдельная песня :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Любой вирус на мобильный гаджет, сможет проинсталироваться только при инициативе пользователя, будь то синхронизация с компьютера, флешка и т.д. Т.е. только при методах соц. инженерии и тупости пользователя :)

Это очень распространенное заблуждение, вызванное необдуманными высказываниями некоторых специалистов.

Поэтому солидарен с Valery Ledovskoy.

В чем именно? Мнение Валерия было им несколько скорректировано

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
nogarbage

sda, прочитайте кусок уязвимости из этой статьи. Другое дело, что nokia сделала приложение, устраняющее последствия смски.

Сколько их ещё таких есть, никто не знает.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
sda, прочитайте кусок уязвимости из этой статьи. Другое дело, что nokia сделала приложение, устраняющее последствия смски.

Неплохая статья, действительно стоит ознакомиться :)

Сколько их ещё таких есть, никто не знает.

Есть множество багофич, о которых знают специалисты, но которые по счастливой случайности пока не используются вирусописателями.

P.S. В вопросах прикрытия уязвимостей Нокия - очень инертная компания :(

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Worm.WinCE.InfoJack. исходя из статьи, единственный вредонос который исполняется без уведомления. Однако ни где, нет случаев, что cab-файл запускался автоматом, везде нужен клик пользователя о чем я и писал.

тот же пример в статье:

....Так, после запуска пользователем Trojan-SMS.J2ME.Swapi.g на дисплее телефона появляется приветствие с предложением посмотреть картинку порнографического содержания. Для этого нужно успеть нажать на кнопку «ДА», пока звучит короткий музыкальный сигнал. (В jar-архиве программы хранится и png-файл с картинкой, и midi-мелодия.) Стараясь успеть нажать кнопку вовремя, пользователь не догадывается, что каждое нажатие (неважно, вовремя или нет) приводит к отправке SMS-сообщения на короткий номер и к списанию определенной суммы с его счета..

Т.е. соц.инженерия рулит :)

Другой вопрос, кому нужен антивирус на мобильных гаджетах? Тупая блондинка о них и не слышала, а продвинутому пользователю он и не нужен, хотя конечно остаются пользователи слышащие краем уха о вирусах на мобильных гаджетах, и на всякий случай ставят на свой смартфон, коммуникатор антивирусную программу, естественно не представляя, как вирус может там очутиться.

Единственный плюс на мой взгляд, это функция анти-вор, хотя на своем примере глюк этой функции на касперском да и честно говоря общая глючность винмобайла, заставила меня перейти на айфон. О чем я ни капли не желею.

Мнение Валерия поддерживаю в части того, что при низкой степени опасности заражения мобильного гаджета, антивирусная программа там просто не нужна. А вирусных эпидемий в ближайшем будущем на мобильных гаджетах не предвидится.

В качестве аналогии, могу привести пример марлевых повязок от свиного гриппа. :)

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Worm.WinCE.InfoJack. исходя из статьи, единственный вредонос который исполняется без уведомления.

Вот видите, утверждение "Любой вирус на мобильный гаджет, сможет проинсталироваться только при инициативе пользователя" неверно :)

Однако ни где, нет случаев, что cab-файл запускался автоматом, везде нужен клик пользователя о чем я и писал.

Дык ведь необязательно устанавливать вирус через cab, достаточно скопировать экзешник

Т.е. соц.инженерия рулит :)

С этим не поспоришь

Другой вопрос, кому нужен антивирус на мобильных гаджетах? Тупая блондинка о них и не слышала, а продвинутому пользователю он и не нужен, хотя конечно остаются пользователи слышащие краем уха о вирусах на мобильных гаджетах, и на всякий случай ставят на свой смартфон, коммуникатор антивирусную программу, естественно не представляя, как вирус может там очутиться.

Как раз этому вопросу и были посвящены предыдущие 8 страниц. Высказанное Вами мнение имеет право на существование

Единственный плюс на мой взгляд, это функция анти-вор, хотя на своем примере глюк этой функции на касперском да и честно говоря общая глючность винмобайла, заставила меня перейти на айфон. О чем я ни капли не желею.

О каком глюке идет речь? :unsure:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA
Вот видите, утверждение "Любой вирус на мобильный гаджет, сможет проинсталироваться только при инициативе пользователя" неверно smile.gif

Я имел ввиду не автоматом. На cab-файл все равно надо кликнуть, хотя система уведомлений и не выдаст. На мой взгляд самый продвинутый вредонос в мобильной среде :)

Viktor, нисколько не отрицаю определенной угрозы( на мой взгляд совершенно минимальной) в мобильной среде, а тем более Вашу работу в этой области. Но на мой взгляд 90% пользователей мобильных гаджетов, на данное время антивирус не нужен.

Вопросы действий антивирусных вендоров не хочу обсуждать.

Человеческая глупость неискоренима во всех областях. Поэтому поле действия до "горизонта" и дальше, как в отрицательном, так и в положительном смысле.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor

Это жалоба по семерке, вышедшей почти 2 года назад. Уверен, что в последней версии продукта этой проблемы нет

Я имел ввиду не автоматом. На cab-файл все равно надо кликнуть, хотя система уведомлений и не выдаст. На мой взгляд самый продвинутый вредонос в мобильной среде :)

Еще раз обращаю внимания - в ряде случаев никаких действий со стороны пользователя не требуется вообще. Для проникновения вируса на WM-устройство не обязательно оборачивать его в cab.

Viktor, нисколько не отрицаю определенной угрозы( на мой взгляд совершенно минимальной) в мобильной среде, а тем более Вашу работу в этой области. Но на мой взгляд 90% пользователей мобильных гаджетов, на данное время антивирус не нужен.

Спасибо. Кстати, если AV нужен хотя бы 10% пользователям - его нужно делать.

Вопросы действий антивирусных вендоров не хочу обсуждать.

Человеческая глупость неискоренима во всех областях. Поэтому поле действия до "горизонта" и дальше, как в отрицательном, так и в положительном смысле.

От многих зловредов под мобильники действительно можно уберечься соблюдая некие простые правила. От многих, но не от всех. Вы же не считаете, что подключение устройства к компьютеру или обмен данными через съемные носители - это примеры неискоренимой человеческой глупости?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
SDA

Viktor, можно привести пример вредоноса не запакованного в cab и автоматом инсталирующегося на девайс со съемного носителя? Какое расширение данного вредоносного исполняемого файла?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Viktor, можно привести пример вредоноса не запакованного в cab и автоматом инсталирующегося на девайс со съемного носителя?

Приношу извинения за задержки с ответами, очень занят на работе.

Я так понимаю, что Вас интересуют примеры под Windows Mobile? Если так, то могу назвать Worm.WinCE.InfoJack и Worm.WinCE.PMCryptic, они распространяются через карту памяти.

Какое расширение данного вредоносного исполняемого файла?

PE exe, вестимо :huh:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arry_DEVIL
Приношу извинения за задержки с ответами, очень занят на работе.

Я так понимаю, что Вас интересуют примеры под Windows Mobile? Если так, то могу назвать Worm.WinCE.InfoJack и Worm.WinCE.PMCryptic, они распространяются через карту памяти.

угу, еще есть Win32.Sality.**... разные модификации данного выруса написанного для компа просто убивают взломанные смарты, причем неважно на какой они оси на симбе или wm... причем спасает тока полная прошивка...

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
hEx
угу, еще есть Win32.Sality.**... разные модификации данного выруса написанного для компа просто убивают взломанные смарты, причем неважно на какой они оси на симбе или wm... причем спасает тока полная прошивка...

Sality будет работать на взломанном Symbian'е??? :blink:

Не верю я Вам.

Вы имеете в виду то, что, скопировав EXE'шник для Windows на взломанный Symbian с 9ой осью, у меня получиться его запустить? :huh:<_<

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arry_DEVIL
Sality будет работать на взломанном Symbian'е??? :blink:

Не верю я Вам.

Вы имеете в виду то, что, скопировав EXE'шник для Windows на взломанный Symbian с 9ой осью, у меня получиться его запустить? :huh:<_<

запустить его не получиться, но если подключить тело к зараженному компу то делов он может натварить реальных

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
если подключить тело к зараженному компу то делов он может натварить реальных

Например?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Arry_DEVIL
Например?

После подключения на зараженный комп N73 начал маргать... исправил все прошивкой.

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
ellw

Почему у ряда вендоров, например, Symantec, Trend Micro защита мобильных устройств относится к продуктам для бизнеса, обычным (не корпоративным) пользователям смартфонов эти продукты получается не нужны по мнению этих компаний?

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
apq
Почему у ряда вендоров, например, Symantec, Trend Micro защита мобильных устройств относится к продуктам для бизнеса,

а еще моб антивирус от симантек прктически ничего кроме eicar не видит :lol:

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
Почему у ряда вендоров, например, Symantec, Trend Micro защита мобильных устройств относится к продуктам для бизнеса, обычным (не корпоративным) пользователям смартфонов эти продукты получается не нужны по мнению этих компаний?

И у Symantec и у Trend Micro есть продукты для домашних пользователей, другое дело, что в ряде случаев действительно наблюдается ориентация на корпоративный сегмент, но корить вендоров за это не стоит

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Б..

А говорили, что вирусов для смартов не будет.

http://soft.mail.ru/pressrl_page.php?id=11859

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты
Viktor
А говорили, что вирусов для смартов не будет.

http://soft.mail.ru/pressrl_page.php?id=11859

Читайте внимательнее:

По мнению сотрудников компании, в ближайшее время росту количества вирусов для смартфонов будут способствовать несколько основных факторов. Прежде всего, "Лаборатория Касперского" выделяет рост числа пользователей смартфонов. Чем популярнее становится технология, тем больший интерес она вызывает у злоумышленников. Это, в свою очередь, приводит и к увеличению количества квалифицированных специалистов, потенциально способных создавать вредоносные программы для портативных устройств. Кроме того, с развитием мобильных платформ появляется все больше и больше возможных схем проведения атак (например, через дыры в ПО).

Поделиться сообщением


Ссылка на сообщение
Поделиться на другие сайты

  • Сообщения

    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.21.
    • Ego Dekker
    • Ego Dekker
      Антивирусы были обновлены до версии 13.1.16. В числе прочего добавлены совместимость с Windows 10 20H1 и поддержка Windows 10 20H2.
    • Ego Dekker
      Программа для удаления продуктов ESET обновилась до версии 9.0.1.0. Для просмотра всех команд запустите утилиту с параметром /help. 
    • santy
      1. на самом деле можно и не удалять, а редактировать единственный критерий для создания запросов. Было бы только удобно формировать такой запрос.... например, "все объекты с цифровой, которая не входит в белый список". здесь ты одним значением не найдешь их фильтруя все объекты сквозным образом по ИНФО, как минимум необходимо два условия, а значит и два значения вводить для запроса. 2. подсветки нет, но это наверное не самое главное. для скорости анализа важно, (хотя бы строку из инфо, которая соответствует критерию).... когда ИНФО содержит много информации. для формирования скрипта- не критично. 3. старых и новых критериев нет. все действующие. ненужные удалить. хотя может и полезно было бы ставить check "отключить" или "включить" данное правило в базе.
        вся эта работа выполняется на стадии формирования списка объектов автозапуска. все исполняемые файлы, которые встречаются по ссылкам в реестре, в cmdLine, и проч. Если ты набрал в поиске по наименованию "cmd.exe", ты уже нашел данный объект в списке со всей его историей (ИНФО), собранной на стадии формирования образа автозапуска.... в какие параметры, ссылки входит в реестре или в cmdLine. цитата "выше Разве?" взята из предложения по деструктивным действиям чистых файлов, когда эти деструктивные действия находятся с помощью критериев, но чистый хэш снимает статус, подтверждающий дейструктивность действия данного файла в анализируемой системе.
×