текст: Михаил Демидов (Friedrich Putrid)
 
      Карманные персональные компьютеры и смартфоны на платформе Windows mobile стали еще на один шаг ближе к достижению функциональности настольных систем, но этот шаг не столько несет в себе расширение самих возможностей устройств, сколько выявляет, что и мобильные устройства, равно как и пк, подвержены вирусной активности
 
 
      Созданные с учетом использования в качестве источников хранения конфиденциальной и личной информации смартфоны и мини-компьютеры имеют операционные системы, которые в той или иной степени можно было признавать неуязвимыми для хакеров. Так продолжалось до июля 2004 г., когда общественности сообщили об обнаружении Duts — первого вируса для Windows Mobile — одной из наиболее популярных платформ среди мобильных устройств (карманных компьютеров, смартфонов). Duts был обнаружен Лабораторией Касперского в 2004 г.: «Это концептуальная вредоносная программа, которая демонстрирует возможность заражения платформы Windows Mobile. Лабораторные испытания показали, что вирус эффективно размножается в данной среде. Duts не имеет активных функций распространения, заражает ограниченное количество файлов и однозначно проявляется при попытке размножения», — заявлял Евгений Касперский. Duts является классическим вирусом паразитом длиной 1520 байт. Он может быть доставлен на мобильное устройство по любым каналам связи с внешним миром: электронной почте, Интернету, сменным картам памяти, при синхронизации с ПК или по технологии Bluetooth. После запуска зараженного файла на экран выводится диалоговое окно с текстом: Dear User, am I allowed to spread? (Уважаемый пользователь, вы позволите мне размножиться?)
      В случае положительного ответа Duts внедряется в подходящие по формату и размеру (более 4 Kb) исполняемые файлы в корневой директории устройства (My device). В процессе заражения вирус записывает себя в конец целевого файла и модифицирует его точку входа. Во избежание повторного заражения такие файлы получают метку «atar» в одном из неиспользуемых полей. Каких-либо деструктивных функций в Duts не обнаружено.
      По сути дела, Duts был первой ласточкой, испытывающей нервы руководителей антивирусных компаний: то, что вирус был рассчитан на неопытного пользователя или на человека с явно рассеянным вниманием, было видно сразу. Обо всех своих действиях Duts информировал владельца зараженной машины диалоговым окном, в котором, как ни странно, был пункт отказа от дальнейших действий вируса. Это очень напоминало старую карикатуру на Internet Explorer 5.0, в которой в диалоговом окне предлагалось выбрать — загружать опасный «троян» на компьютер или нет.
 
 
      Если Duts был «шалостью» вирусописателей на Windows Mobile, то следующий образец вредоносного программного обеспечения вызывает намного больше негативных последствий для КПК и смартфонов. В том же 2004 г. Лаборатория Касперского сообщает об обнаружении Backdoor.WinCE Brador.a — первой программы-бэкдора для карманных персональных компьютеров PocketPC на базе Windows CE / Windows Mobile 2002 / 2003 / 2003SE WinCE Brador.a — это утилита удаленного администрирования размером 5632 байт (ARM assembller), поражающая КПК на базе Windows CE и Windows Mobile 2002 / 2003 / 2003SE. После запуска бэкдор создает свой файл с именем svchost.exe в каталоге запуска Windows / System, таким образом получая полное управление системой при каждом включении КПК. Бэкдор определяет IP-адрес зараженной системы и отправляет его по электронной почте автору, информируя его о том, что КПК находится в сети и бэкдор активен. После этого он открывает порт 44299 для приема различных команд.
      Основная функция WinCE Brador.a — открытие портов на зараженных машинах с целью получения злоумышленниками доступа к КПК и полного контроля над мобильным устройством. Программа обладает функцией автозагрузки и удаленного управления. Кроме того, она может добавлять или удалять файлы на жестком диске, а также пересылать их злоумышленнику. В бэкдоре не предусмотрена функция самораспространения, и он может попасть на КПК пользователя под видом другой неопасной программы по стандартной для троянских программ схеме: зараженные вложения в электронных письмах и загрузка через сеть Интернет, а также при передаче данных с настольного компьютера. По данным аналитиков Лаборатории Касперского, автором Brador может быть кодер из России: информация о появлении программы поступила с сервера электронной почты, зарегистрированного в России, и текст сообщения был составлен на русском языке. Еще одним усугубляющим фактором является коммерческий вариант программы, то есть возможность развития программы по принципу Donationware («создание продукта на средства пожертвований»).
      Существует модификация Backdoor. WinCE Brador. b, которая после копирования версии в каталог автозагрузки сканирует Windows Socket Interface на предмет совместимости с версией 1.1 и выше. При удовлетворительном ответе на запрос она открывает сокет и переправляет его на порт 2989 (BAD в таблице ASCII). После этого программа делает попытку соединиться с портом 25 (SMTP-сервером исходящей почты) сервера 194.67.23.111 и отсылает информацию о зараженной системе автору вируса на почтовый ящик brokensword@ukr.net. Отправляя исходящую почту, программа задействует собственный SMTP-клиент без предварительной проверки данных на ошибочность.
      «Обнаружение первой троянской программы для карманных компьютеров подтверждает наши опасения, высказанные недавно в связи с появлением концептуальных вирусов для мобильных телефонов и для операционной системы Windows Mobile, — говорит Евгений Касперский, руководитель антивирусных исследований Лаборатории Касперского. — WinCE Brador.a — полно-ценная вредоносная программа, здесь речь уже не идет о демонстрации вирусописателями своих возможностей, мы можем наблюдать набор деструктивных функций, характерный для большинства бэкдоров».
      Это были два классических примера успешной работы кодеров, создавших вирусы на Windows Mobile CE / Windows Mobile 2002 / 2003 / 2003SE. В 2005 г. выходит обновленная версия операционной системы от Microsoft — Windows Mobile 5.0, в которой, как заявлено разработчиками, учтено большинство брешей в системе безопасности. Так-то оно так, старые вирусы уже не запускаются на ней, но, как это ни смешно, старые уязвимости, такие как Remote Code Execution (запуск кода на исполнение на удаленном устройстве), остались без должного внимания Microsoft. Таким образом можно прислать на КПК вредоносный код, который будет выполнен в «тихом» режиме, без информирования об этом владельца устройства. Компания Symantec, и в частности ее сотрудник Коллин Муллинер, провела специальное исследование, направленное на анализ уязвимостей Windows Mobile 5.0, и определила основные направления будущих атак — как дистанционных, так и основанных на манипуляциях с уровнями безопасности приложений (в Windows Mobile 5.0 применяется система сертификации заслуживающих доверия (trusted) приложений в противовес неблагонадежным источникам). Как утверждает источник, Symantec не собирается подробно распространяться по поводу найденных «дырок» в системе, но планирует распространить свои рекомендации относительно общей архитектуры защиты операционной системы и мер, которые пользователи могут принять для того, чтобы обезопасить себя от действий взломщиков.
      Достаточно упомянуть, что вредоносный код может быть встроен в MMS и активирован простым прочтением данного сообщения ничего не подозревающим пользователем. Февраль 2006 г. принес очередные пополнения в коллекцию антивирусных баз. Начало было положено неким объединением программистов, заявленным как MARA (Mobile Antivirus Researchers Associations — Ассоциация исследователей в области мобильной антивирусной защиты). MARA распространила пресс-релиз, в котором речь шла о новом редком концептуальном вирусе, написанном под Windows и Windows Mobile одновременно. Кроссплатформенный вирус некоторый период времени удерживался в изоляции от представительств антивирусных компаний из-за занятия такой позиции MARA. Интерес стал вызывать состав этой ассоциации, что дало еще большее число поводов для раздумий. В нее входило порядка 10 членов, не имеющих контактных адресов. Самым известным из всей компании был Сайрус Пейкари, генеральный директор AirScanner — производителя антивирусного программного обеспечения для мобильных телефонов. Пейкари стал известен после публикации исходных кодов вируса WinCE. Duts и соответствующего анализа качества их исполнения. Статья-анализ была написана им в соавторстве с членом группы 29A неким Ratter, предоставившим авторские исходники Duts. По сути дела, эта статья была готовым руководством для написания вирусов на Windows Mobile.
      8 марта 2006 г. Сайрус Пейкари публикует очередной труд, анализируя тот самый кроссплатформенный вирус, упомянутый в предыдущем абзаце, называя его Crossover. Часть вторая пособия для написания вирусов увидела свет, а сайт MARA приказал долго жить. Получив образцы этого вируса, антивирусные компании приступают к включению в базы процедур обнаружения и деактивации вируса, получившего на этот раз имя CXOver. A.
      Этот вирус при своем запуске проверяет операционную систему и тут возможны два варианта:
      При запуске на настольной версии Windows он ищет через доступные ActiveSync мобильные устройства и копирует себя на них.
      При запуске на Windows Mobile происходит такой же процесс, но в обратную сторону, с последующим копированием на персональный компьютер.
      В передаче принимают участие компьютеры с установленной платформой. NET. Действия вируса CXOver. A проявляются на мобильном устройстве и выражаются в удалении пользовательских файлов из папки My Documents.
      На момент написания статьи (сентябрь 2006 г.) были известны только эти вирусы и уязвимости Windows Mobile, но вполне уверенно можно утверждать, что с дальнейшим развитием операционной системы (в частности, вышел Windows Mobile 5.0 Service Pack 2) определенная часть брешей была устранена, но быть спокойным за свой КПК полностью не стоит. Первые вирусы для смартфонов на Symbian OS (является псевдооперационной системой) были открыты в 2004 г. и небольшое их количество за последующее время спровоцировало повальный рост «троянов» для этой платформы в нынешнем году. Такая же ситуация будет ожидать и владельцев коммуникаторов, смартфонов и карманных персональных компьютеров на Windows Mobile. Посоветовать можно только следующее: не доверять непроверенным источникам данных (не принимать данные по ИК-связи и Bluetooth), по возможности, не использовать синхронизацию данных (обычно это файлы) через ActiveSync на публичных компьютерах, а пользоваться кардридерами и, наконец, быть более внимательными и к вложенным файлам в электронной почте. Идеальный вариант — почта зарегистрирована не на публичном сервисе, имеет антивирусную защиту и сам почтовый агент настроен на загрузку не тела сообщения, а его заголовков или фрагмента письма без файлов. При серфинге в Сети, по возможности, в браузере надо отключать выполнение скриптов и быть внимательными к ActiveX (активному содержанию) компонентам. Лучше всего пользоваться сторонним программным обеспечением, например, браузерами Net Front или Opera, и иметь на всякий случай установленный антивирус на КПК — Kaspersky Security для PDA или Avast! Antivirus for PDA.
 

KASPERSKY SECURITY для PDA

      Kaspersky® Security для PDA — это уникальное сочетание средств защиты данных для карманных персональных компьютеров (КПК) различных типов.
      Kaspersky Security для PDA расширяет стандартные возможности «наладонников», работающих под операционными системами Palm OS и Windows CE, обеспечивая:
      комплексную антивирусную защиту КПК
      автоматическое обновление антивирусных баз
      возможность защитить данные от несанкционированного доступа (кодирование, защита паролем)
 

КОМПОНЕНТЫ KASPERSKY SECURITY для POCKET PC

      Антивирус Касперского для Pocket PC защищает от вирусов КПК на базе Windows Mobile.
      Антивирусный сканер по запросу пользователя проверяет места хранения данных и карты расширения памяти. Программа автоматического обновления антивирусных баз позволяет постоянно поддерживать систему защиты в актуальном состоянии. В программе реализована система меню и гибкая настройка опций; ведется файл-отчет, где фиксируются все действия программы; поддерживается цветной пользовательский интерфейс.
      Kaspersky DataSafe для Pocket PC — программа для защиты секретных данных КПК на базе Windows Mobile от несанкционированного доступа. Программа позволяет создавать секретные папки, вся информация в которых шифруется и доступ к ним ограничивается паролями. Приложения КПК могут записывать информацию в секретные папки так же, как на карты расширения памяти.
      Антивирус Касперского для Microsoft Smartphone — программа для антивирусной защиты смартфонов на базе операционных систем Microsoft Smartphone 2002, Windows Mobile 2003 for Smartphone. По запросу пользователя может быть проведена проверка как внутренней памяти смартфона, так и карт расширения. В случае обнаружения вируса программа позволяет удалить зараженный объект. Обновление антивирусных баз осуществляется вручную.
      Более подробную информацию о программе и способе ее приобретения вы сможете найти посетив сайт Лаборатории Касперского.

      текст: Didex
 
      Для того чтобы упростить запуск программ, избавив пользователя от блужданий по меню и сократив множество действий до одного, были написаны специальные программы — лончеры. На текущий момент для кпк написано достаточно много лончеров. Одни из них узкоспециализированы и не умеют ничего, кроме основной задачи — запуска программ; другие, кроме основной функции, могут выполнять и другие действия, так или иначе, облегчая нашу жизнь. Кто-то из пользователей предпочитает установить самый простой лончер, добавив к его функционалу некоторые утилиты-довески, а кто-то любит программы «все в одном».
 
 
      Разработка компании SPB Softwarehouse — «SPB Pocket Plus» — относится к многофункциональным программам. Это не просто лончер — это целый комплекс утилит для пользователей, не желающих занимать себя поиском и подбором необходимых программ.
 

Возможности программы

      Давайте рассмотрим, чем может упростить нашу жизнь эта программа. Установить программу можно двумя способами: скачав «cab» или «exe» файл. Разницы никакой, кроме размера (cab занимает немного больше места) и способа регистрации (при установке программы с настольного компьютера регистрационный код вводится сразу, а при установке непосредственно на КПК — в настройках).
 
 
      Основной элемент программы выполнен в виде плагина для экрана Сегодня, представляющего собой поле с закладками, между которыми можно переключаться.
      Количество закладок определяется пользователем — их может быть две, пять, а может не быть вовсе. Можно, например, сделать просто поле и вытащить на него необходимые ярлыки. Сами закладки легко перетаскиваются стилусом, так что изменить их очередность не составит труда, а картинку, отображаемую на закладке, в любой момент можно заменить.
 
 
      Ярлыки программ отображаются в виде иконок, при этом они могут быть большие или маленькие. Появившуюся иконку можно оставить стандартной, а можно заменить на другую из предлагаемого набора.
      На любую из закладок можно вынести следующие индикаторы: яркость подсветки, объем свободной или занятой памяти, уровень заряда аккумулятора или вспомогательной батареи, индикатор объема карт памяти. Передвигая ползунок на индикаторе подсветки, можно изменять яркость экрана прямо с рабочего стола, не заходя в меню настроек. Отображение объемов памяти или заряда аккумулятора измеряется как в количественных, так и в относительных величинах (процентах). Вынесенные ярлыки программ можно перетаскивать с помощью функции drag-and-drop, что, несомненно, удобно.
      Кроме ярлыков или индикаторов на рабочий стол можно вынести папку, например, Мои документы, таким образом отпадает необходимость каждый раз запускать проводник.
      С помощью системных кнопок, заранее предусмотренных в программе, пользователь имеет возможность отключать экран, что удобно при прослушивании музыки, выключать КПК, переключаться между запущенными программами и даже делать перезагрузку устройства — «софт ресет».
      Как видно на фотографии, полезная часть поля слева использована не рационально, поэтому, первое, что я сделал после установки — убрал отображение логотипа.
      Эта операция делается через меню настроек программы. Для того чтобы попасть в настройки, надо нажать на логотип
      В открывшемся меню выбрать пункт «Элементы экрана сегодня» и нажать кнопку Настройки элемента. В следующем окне выбираем закладку Отступ и снимаем галочку с пункта Показывать ярлык Spb Pocket Plus. После этой операции на рабочем поле становится больше места, и иконки можно расставить более практично.
 
 
      В дальнейшем, чтобы попасть в меню настроек, нужно будет зайти в Start — Settings, после чего выбрать закладку System где вы и найдете иконку вызова настроек. Кроме этого, вы можете разместить иконку SPB Pocket Plus на одной из закладок, что позволит вам заходить в настройки программы непосредственно из самого лончера.
      Рассмотрим меню Сервис подробней. В этом меню всего шесть настроек:
      1. Сохранить настройки — рекомендуется сохранить настройки программы в файл и спрятать его на карте памяти или в энергонезависимой памяти КПК. Если вдруг вы переустановите программу, вам не придется выносить ярлыки программ заново.
      2. Восстановить настройки — восстанавливает настройки, сохраненные, как описано в пункте выше.
      3. Дополнительно — в этом пункте можно включить или отключить повторяющиеся напоминания или индикаторы карт памяти. На коммуникаторах индикатор карт памяти может не отображаться и даже не присутствовать в настройках. На самом деле он есть, но в силу того, что из-за ошибок прошивок некоторых коммуникаторов обращение к карте памяти может вызвать потерю данных, эта опция изначально отключена.
      4. Удаление компонента — позволяет удалить ненужные компоненты программы, например, темы или иконки.
      5. Регистрация — если вы устанавливали программу из cab файла, то в этом меню можно ввести регистрационный код.
      6. О программе
 
 
      Самый простой способ вытащить ярлык, папку или индикатор — длинным тапом на пустом месте закладки SPB Pocket Plus вызвать меню, в котором выбрать пункт Добавить, а далее выбрать то, что необходимо добавить. Другой способ — в проводнике зайти в директорию, в которой находится нужная программа и, нажав длинным тапом на exe файл, выбрать пункт меню Добавить на экран Сегодня.
 

Проводник

      После установки программы изменения можно найти и в стандартном проводнике — File Explorer.
 
 
      К стандартным функциям проводника добавляются:
 
 
      кнопка «Вверх»
      — для удобства навигации по папкам
      поддержка ZIP-архивов — становится возможным архивировать целые папки или отдельные файлы
      форматирование карт памяти
      шифрование — выбранный файл шифруется с применением пароля, предотвращая несанкционированный доступ к информации
      свойства файлов
      кнопка «закрыть» реально закрывает, а не сворачивает приложения
      диспетчер задач — можно переключаться между запущенными программами
 

Диспетчер задач

      Нажав «длинным тапом» на крестик для закрытия программ, можно вызвать Диспетчер задач, в котором пользователю предоставляется выбор — закрыть программу, свернуть или переключится между работающими приложениями.
 
 
      Интересный факт — не все пользователи знают, что менеджер задач можно вызвать, если на экране «Today» нажать длинным тапом в то место, где обычно находится крестик для закрытия программ (правый верхний угол), даже несмотря на то, что пресловутого крестика там нет.
 
 
      Кроме всего описанного выше, диспетчер позволяет настраивать действие, ведущее к закрытию программ. Например, нажатие на крестик не всегда будет вызывать закрытие программы — только от желания пользователя и настроек программы будет зависеть то, что произойдет с конкретным приложением. Действия так же различны — это может быть либо тап по «крестику», либо росчерк вниз. При нажатии на «крестик» можно настроить «свернуть программу», а закрывать по росчерку вниз или наоборот. Кроме этого, есть удобная функция для настройки исключений. Если вы внесете в исключения конкретную программу, она всегда будет только сворачиваться. Это очень полезно владельцам коммуникаторов, использующих специфичные приложения, например, «PhotoContact», которая всегда должна быть запущена и не должна закрываться даже случайным нажатием на крестик.
 

Internet Explorer

      Достаточно удобные новшества появляются и в стандартном браузере: