4PDA, 2007 № 01 | страница 34

В случае положительного ответа Duts внедряется в подходящие по формату и размеру (более 4 Kb) исполняемые файлы в корневой директории устройства (My device). В процессе заражения вирус записывает себя в конец целевого файла и модифицирует его точку входа. Во избежание повторного заражения такие файлы получают метку «atar» в одном из неиспользуемых полей. Каких-либо деструктивных функций в Duts не обнаружено.

По сути дела, Duts был первой ласточкой, испытывающей нервы руководителей антивирусных компаний: то, что вирус был рассчитан на неопытного пользователя или на человека с явно рассеянным вниманием, было видно сразу. Обо всех своих действиях Duts информировал владельца зараженной машины диалоговым окном, в котором, как ни странно, был пункт отказа от дальнейших действий вируса. Это очень напоминало старую карикатуру на Internet Explorer 5.0, в которой в диалоговом окне предлагалось выбрать — загружать опасный «троян» на компьютер или нет.

Если Duts был «шалостью» вирусописателей на Windows Mobile, то следующий образец вредоносного программного обеспечения вызывает намного больше негативных последствий для КПК и смартфонов. В том же 2004 г. Лаборатория Касперского сообщает об обнаружении Backdoor.WinCE Brador.a — первой программы-бэкдора для карманных персональных компьютеров PocketPC на базе Windows CE / Windows Mobile 2002 / 2003 / 2003SE WinCE Brador.a — это утилита удаленного администрирования размером 5632 байт (ARM assembller), поражающая КПК на базе Windows CE и Windows Mobile 2002 / 2003 / 2003SE. После запуска бэкдор создает свой файл с именем svchost.exe в каталоге запуска Windows / System, таким образом получая полное управление системой при каждом включении КПК. Бэкдор определяет IP-адрес зараженной системы и отправляет его по электронной почте автору, информируя его о том, что КПК находится в сети и бэкдор активен. После этого он открывает порт 44299 для приема различных команд.

Основная функция WinCE Brador.a — открытие портов на зараженных машинах с целью получения злоумышленниками доступа к КПК и полного контроля над мобильным устройством. Программа обладает функцией автозагрузки и удаленного управления. Кроме того, она может добавлять или удалять файлы на жестком диске, а также пересылать их злоумышленнику. В бэкдоре не предусмотрена функция самораспространения, и он может попасть на КПК пользователя под видом другой неопасной программы по стандартной для троянских программ схеме: зараженные вложения в электронных письмах и загрузка через сеть Интернет, а также при передаче данных с настольного компьютера. По данным аналитиков Лаборатории Касперского, автором Brador может быть кодер из России: информация о появлении программы поступила с сервера электронной почты, зарегистрированного в России, и текст сообщения был составлен на русском языке. Еще одним усугубляющим фактором является коммерческий вариант программы, то есть возможность развития программы по принципу Donationware («создание продукта на средства пожертвований»).