Stan zagrożeń w internecie znajduje się obecnie na poziomie standardowym. Nie występują duże epidemie a eksperci z Kaspersky Lab nie zanotowali żadnych poważnych incydentów związanych z bezpieczeństwem. Poziom zagrożenia: 1

Więcej o Yxe

Denis Nazarow
Kaspersky Lab Expert
Dodany 26 lutego 2010, 10:11 CET
Tagi:

Co jeszcze odkryliśmy wczoraj na temat robaka Yxe.e? Szkodnik rozprzestrzenia się za pośrednictwem wiadomości MMS, ale dołącza obraz trupiej czaszki do samej wiadomości, a nie jej treści. Wiadomość zawiera odsyłacz - http://tran******.com - i sugeruje, że odbiorca ma okazję poznać prywatne informacje na temat chińskiej aktorki Zhang Zii.

Otwierając stronę, do której prowadzi odsyłacz, z zainfekowanego urządzenia trafiliśmy na ofertę pobrania i zainstalowania pliku o nazwie LanPackage.sisx, który ma rozmiar 57573 bajtów. Jednak otwarcie strony z przeglądarki zainstalowanej na komputerze daje wynik 404:

Innymi słowy, serwer sprawdza, czy żądanie połączenia się ze stroną pochodzi z przeglądarki urządzenia przenośnego.

Po uruchomieniu LanPackage.sisx ukazuje się następująca wiadomość:



Certyfikat wygląda następująco:



Jeżeli użytkownik zgodzi się na instalację, na jego urządzenie zostaną skopiowane następujące pliki:

  • C:\sys\bin\Installer_SV.exe
  • C:\sys\bin\LanPackage.exe – plik wykonywalny robaka
  • C:\private\101f875a\import\[20028B98].rsc

Po zainstalowaniu robak zaczyna przechwytywać dane dotyczące smartfonu; przesyłać dane do serwera cyberprzestępczego; wysyłać wiadomości SMS zawierające odsyłacz do samego siebie do wszystkich kontaktów w książce adresowej; próbować wyłączyć AppMngr, TaskSpy, Y-Tasks, ActiveFile, TaskMan; oraz blokować dostęp do Menedżera oprogramowania w celu uniemożliwienia usunięcia go. Próbuje również połączyć się z chińskim portalem społecznościowym “Happy Net” i pobrać kolejny plik (w momencie pisania tego posta plik ten nie był dostępny).

Wygląda na to, że Worm.SymbOS.Yxe dorównuje takim szkodliwym programom jak Cabir czy Comwar. Cabir był pierwszym robakiem rozprzestrzeniającym się za pośrednictwem Bluetootha oraz pierwszym szkodnikiem stworzonym dla platform mobilnych; Comwar był pierwszym szkodnikiem rozprzestrzeniającym się za pośrednictwem MMS; Yxe był pierwszym szkodliwym programem na wolności posiadającym ważny certyfikat. Wiele wariantów Cabira i Comwara rozprzestrzeniało się z przerwami na długo po tym, jak zostały wykryte. Worm.SymbOX.Yxe ma ponad rok i wygląda na to, że w najbliższym czasie nie ma zamiaru zatrzymać swojej ewolucji ani zakończyć rozprzestrzeniania.