Kaspersky Labs, ein international führender Experte im Bereich IT-Sicherheit, hat "Backdoor.WinCE.Brador.a" entdeckt, das erste Backdoor-Programm für Pocket PCs, die auf den Betriebssystemen Windows Mobile und Windows CE basieren.
"WinCE.Brador.a" ist das erste Programm (Größe: 5632 Byte), das per Fernzugriff auf mobile Endgeräte mit den Betriebssystemen Windows Mobile und Windows CE zugreifen kann. Nach dem Start erstellt das Backdoor-Programm seine eigene Verknüpfung mit dem Namen svchost.exe im Autostart-Ordner von Windows und erhält damit beim Starten des PDAs die Kontrolle über das System. Das Backdoor-Programm ermittelt die IP-Adresse des infizierten Gerätes und sendet sie per E-Mail an den Virus-Autor mit dem Hinweis, dass das Programm aktiv und am Netz ist. Danach öffnet er Port 2989 zum Empfang verschiedenster Befehle.
Die Hauptfunktion von WinCE.Brador.a besteht im Öffnen von Ports infizierter PDAs mit dem Ziel, dem Autor die maximale Kontrolle über das Gerät zu verschaffen. Der Virus kann sich nicht selbst vermehren, kann aber als scheinbar harmloses Programm mit der für Trojaner üblichen Vorgehensweise auf andere PDAs gelangen. Es verbreitet sich entweder als infizierte Anlage einer E-Mail-Nachricht, über das Internet oder über eine ActiveSync-Verbindung mit einem PC.
"Die Entdeckung des ersten Trojanerprogramms für PDAs bestätigt unsere Befürchtungen, die wir bereits bei der Analyse des ersten konzeptuellen Virus für Mobiltelefone und für das Betriebssystem Windows Mobile geäußert haben", so Eugene Kaspersky, Leiter der Anti-Viren-Forschung bei Kaspersky Labs. "'WinCE.Brador.a' ist ein echtes Schadensprogramm. Hier geht es nicht um Virenautoren, die nur ihr Können beweisen wollen, sondern um ein Programm mit allen für Backdoor-Programme typischen destruktiven Funktionen."
"WinCE.Brador.a" ist ein kommerzielles Programm. Neben dem infizierten Programm wird der Client-Teil (eine Art Schlüssel, der das Programm voll funktionsfähig für andere Anwender macht) kostenpflichtig angeboten, was eine schnelle Verbreitung des Programms naheliegend macht.
"Die Anwender mobiler Geräte befinden sich in realer Gefahr und wir gehen davon aus, dass der 'Viren-Untergrund' sich in naher Zukunft auf das Schreiben von Viren für mobile Geräte verlegen wird. Das alles erinnert stark an die Evolution von Viren für PCs und könnte bald zu Virenepidemien für mobile Geräte führen", befürchtet Eugene Kaspersky.
Die Analytiker von Kaspersky Labs gehen davon aus, dass der Autor von WinCE.Brador.a aus Russland stammt. Grund hierfür ist die Tatsache, dass die Information über den Virus in russischer Sprache von einer russischen E-Mail-Adresse stammt.
Eine Prozedur zum Erkennen und Löschen von "WinCE.Brador.a" ist bereits in der Anti-Viren-Datenbank von Kaspersky Anti-Virus hinterlegt. Genauere Informationen können in der Viren-Enzyklopädie unter www.viruslist.com abgerufen werden.
"WinCE.Brador.a" ist das erste Programm (Größe: 5632 Byte), das per Fernzugriff auf mobile Endgeräte mit den Betriebssystemen Windows Mobile und Windows CE zugreifen kann. Nach dem Start erstellt das Backdoor-Programm seine eigene Verknüpfung mit dem Namen svchost.exe im Autostart-Ordner von Windows und erhält damit beim Starten des PDAs die Kontrolle über das System. Das Backdoor-Programm ermittelt die IP-Adresse des infizierten Gerätes und sendet sie per E-Mail an den Virus-Autor mit dem Hinweis, dass das Programm aktiv und am Netz ist. Danach öffnet er Port 2989 zum Empfang verschiedenster Befehle.
Die Hauptfunktion von WinCE.Brador.a besteht im Öffnen von Ports infizierter PDAs mit dem Ziel, dem Autor die maximale Kontrolle über das Gerät zu verschaffen. Der Virus kann sich nicht selbst vermehren, kann aber als scheinbar harmloses Programm mit der für Trojaner üblichen Vorgehensweise auf andere PDAs gelangen. Es verbreitet sich entweder als infizierte Anlage einer E-Mail-Nachricht, über das Internet oder über eine ActiveSync-Verbindung mit einem PC.
"Die Entdeckung des ersten Trojanerprogramms für PDAs bestätigt unsere Befürchtungen, die wir bereits bei der Analyse des ersten konzeptuellen Virus für Mobiltelefone und für das Betriebssystem Windows Mobile geäußert haben", so Eugene Kaspersky, Leiter der Anti-Viren-Forschung bei Kaspersky Labs. "'WinCE.Brador.a' ist ein echtes Schadensprogramm. Hier geht es nicht um Virenautoren, die nur ihr Können beweisen wollen, sondern um ein Programm mit allen für Backdoor-Programme typischen destruktiven Funktionen."
"WinCE.Brador.a" ist ein kommerzielles Programm. Neben dem infizierten Programm wird der Client-Teil (eine Art Schlüssel, der das Programm voll funktionsfähig für andere Anwender macht) kostenpflichtig angeboten, was eine schnelle Verbreitung des Programms naheliegend macht.
"Die Anwender mobiler Geräte befinden sich in realer Gefahr und wir gehen davon aus, dass der 'Viren-Untergrund' sich in naher Zukunft auf das Schreiben von Viren für mobile Geräte verlegen wird. Das alles erinnert stark an die Evolution von Viren für PCs und könnte bald zu Virenepidemien für mobile Geräte führen", befürchtet Eugene Kaspersky.
Die Analytiker von Kaspersky Labs gehen davon aus, dass der Autor von WinCE.Brador.a aus Russland stammt. Grund hierfür ist die Tatsache, dass die Information über den Virus in russischer Sprache von einer russischen E-Mail-Adresse stammt.
Eine Prozedur zum Erkennen und Löschen von "WinCE.Brador.a" ist bereits in der Anti-Viren-Datenbank von Kaspersky Anti-Virus hinterlegt. Genauere Informationen können in der Viren-Enzyklopädie unter www.viruslist.com abgerufen werden.
