Halo, tu ZITMO – czyli jak usunąć malware z telefonu.

zeus_zitmo2

Parę dni temu opisywaliśmy lutowy atak ZeuSa oraz ZITMO, który skierowany był na klientów polskich banków. Jest to nowa strategia ataku polegająca na zainfekowaniu nie tylko komputera ale również telefonu ofiary. Komunikacja zainfekowanego telefonu z C&C (centrum zarządzania) odbywa się poprzez wiadomości SMS wysyłane na określony numer. Atakujący ma możliwość np.: całkowicie zablokować możliwość wykonywania oraz odbierania rozmów, czy też przekierować wszystkie przychodzące wiadomości SMS na jego numer (wiadomości te nie są widoczne na telefonie ofiary). Podczas analizy zebranych próbek CERT Polska znalazł trzy różne numery telefonów. Wszystkie pasują do schematu: +44778148****.

  Jedną z możliwych (i skutecznych) kuracji telefonu jest FACTORY RESET. Przywraca on urządzenie do stanu “pierwotnego”, tym samym usuwając szkodnika z pamięci. Niestety usuwa również wszystkie inne informacje i ustawienia zapisane w telefonie. W przypadku infekcji komputera dostępna jest instrukcja usunięcia ZeuSa umieszczona na stronie banku ING.

Poniżej zamieszczamy krótki opis każdego z “gatunków” lutowego ZITMO:

SYMBIAN

Na telefony z systemem operacyjnym symbian wysyłane były SMS zawierające link do pliku cert.sis. Po zainstalowaniu malware tworzył proces nazwany Nokia update oraz w pamięci telefonu zapisywał pliki:

C:\private\20039E30\firststart.dat
C:\private\20039E30\NumbersDB.db
C:\private\20039E30\settings2.dat

FOTOs00

FOTOs9

Deinstalacja:

Otwieramy menedżer aplikacji oraz odnajdujemy aplikację “Certificate”. Następnie z menu kontekstowego wybieramy opcję usuń a następnie potwierdzamy zamiar usunięcia aplikacji.

FOTOs11

FOTOs21

FOTOs31

W przypadku pojawienia się ostrzeżenia o konieczności zamknięcia aplikacji odpowiadamy twierdząco (OK). Po rozpoczęciu procesu usuwania aplikacji powinno pojawić się okno proszące o podanie kodu/hasła. Numer ten jest zakodowany w jednym z malwarowych plików. Kod umożliwiający usunięcie malware (w przypadku infekcji z lutego 2011 r.) to :

45930

FOTOs41

FOTOs51

FOTOs61

BlackBerry

Paczka infekująca platformę blackberry rozsyłana była w pliku cert.jad. Po uruchomieniu pliku ściągany i instalowany był jeden z plików: sertificate.jar lub sertificate.cod. Po zainstalowaniu aplikacja widoczna jest w menu  Opcje -> Aplikacje pod nazwą sertificate. Po “kliknięciu” w pozycję z aplikacją pojawia się okno umożliwiające przeglądanie szczegółowych informacji na jej temat. W tym samym oknie mamy również możliwość usunięcia niechcianego oprogramowanie poprzez naciśnięcie przycisku Usuń. Zostanie jedynie wyświetlony monit potwierdzający usunięcie. Po wykonaniu operacji odzyskujemy kontrolę nad naszym telefonem.

 

 

 

FOTObb22

FOTObb1

FOTObb2

FOTObb3

FOTObb4

Windows Mobile

W przypadku telefonów z systemem operacyjnym Windows Mobile, plik instalacyjny z malware nazywał się cert.cab. Podczas instalacji ZITMO przedstawiał się jako “net MsgService” Po zainstalowaniu złośliwe oprogramowanie zapisywało ustawienia w trzech czterech plikach:  settings.xml , senders.xml , listnumbers.xml, messages.xml.Sam malware natomiast instalowany był w pliku c:\Windows\MailService.exe. Po uruchomieniu program ten nie był widoczny na liście zadań w standardowym (wbudowanym) menadżerze procesów. Dopiero zainstalowanie dodatkowego oprogramowania umożliwiło wyśledzenie działającego w tle szkodnika. Co ciekawe, tytuł głównego okna zwiazanego z szkodliwym procesem pisany jest cyrylicą (jak na zdjęciu). Niestety oprogramowanie to nie jest również widoczne na liście zainstalowanych aplikacji – co znacznie utrudnia usunięcie szkodnika.

FOTOw1

FOTOw2

Tags: , , , , , , , , , , , ,

Comments are closed.