A korábban mobilra korlátozott fenyegetés már PC-n is fertőz

A rosszindulatú mobil kódokat – bár nagy nyilvánosságot kaptak az utóbbi egy évben – korlátozott terjedési képességeik miatt a legtöbben nem tartották komoly fenyegetésnek. A biztonsági szakértők már korábban felhívták a figyelmet arra, hogy a rosszindulatú kódok írói előszeretettel alkalmazzák az új és fejlődő technológiákat, és ez végül a mobil eszközök elleni támadáshoz fog vezetni.

A SYMBOS_CARDTRP.A kód Symbian Series 60 eszközökről származik, de képes átterjedni a Microsoft Windows operációs rendszert futtató számítógépekre is. A mobil eszköz kétféle módon fertőződhet meg: rosszindulatú kód fogadásával Bluetooth kapcsolaton vagy MMS üzenetben; illetve Webről való letöltéssel és telepítéssel.

A kód működése
• Sok elődjéhez hasonlóan a SYMBOS_CARDTRP.A Bluetooth kapcsolaton terjed (10 méteres körzetben). A fertőzés a mobil eszköz memóriakártyáján tárolódik.
• Ez a rosszindulatú kód emellett hamisított másolatokkal írja felül a fertőzött mobil eszköz alkalmazásait, így megakadályozza e programok megfelelő működését.
• E kód a Windows alapú számítógépeket is képes megfertőzni a telefon használatával. Ha a felhasználó beilleszti a memóriakártyát a számítógép kártyaolvasójába, a kód képes megfertőzni a gépet, majd megpróbál átterjedni más számítógépekre.
• A SYMBOS_CARDTRP.A a következő négy fájlt helyezi el az E:/ mappába (mely általában a memóriakártyát jelenti):
1) fsb.exe – amelyet a Trend Micro BKDR_BERBEW.Q néven ismer fel – megkísérli a számítógépek megfertőzését és a jelszó-információk eltulajdonítását
2) buburuz.ICO, amely a memóriakártya ikonfájljának álcázza magát
3) autorun.inf, amely megpróbálja automatikusan elindítani az fsb.exe fájlt
4) SYSTEM.exe, amelyet a Trend Micro WORM_WUKILL.B néven ismer fel
• Ha a memóriakártyát behelyezik a Windows rendszerű számítógépbe, az autorun.inf fájl megpróbálja futtatni az fsb.exe programot. Bár a SYSTEM.exe fájlhoz nem tartozik automatikus indítási rutin, ikonja megegyezik a mappák ikonjával, így a felhasználók óvatlanul futtathatják.
• Sikeres futtatás esetén a rosszindulatú kód elindítja a WORM_WUKILL.B férget, amely más számítógépeket próbál megfertőzni.

Bár a SYMBOS_CARDTRP.A fertőzési lehetőségei jelenleg korlátozottak, Raimund Genes a Trend Micro európai alelnöke szerint minden felhasználónak ajánlott az elővigyázatosság. „Ez a támadás valójában a koncepció működőképességének bizonyítására szolgál, és egy új típusú vegyes fenyegetés kezdetét jelezheti” – mondta Genes. „A mobil fenyegetések fejlődésével, valószínűleg további hasonló támadások várhatók, melyek erőteljesebb terjedési technikáikkal nagyobb fertőzéseket okozhatnak.” – tette hozzá Genes.

A Trend Micro biztonsági szakértői a következő intézkedéseket javasolják e támadás és a hasonló támadások kivédése érdekében:
– Ne fogadjon semmilyen kéretlen alkalmazást vagy SMS üzenetet ismeretlenektől, különösen abban az esetben, ha a program vagy üzenet váratlanul érkezett.
– Csak megbízható webhelyekről töltsön le alkalmazásokat. A megbízható webhelyek esetén is ellenőrizze, hogy a letöltött alkalmazás megegyezik-e a letölteni kívánttal.

Az e fenyegetés elleni védelmet biztosító ingyenes próbamodul már letölthető.