Betroffene Systeme: Symbian
Übertragungsweg: Installationsdatei (SIS), Bluetooth, SMS
Schadwirkung: niedrig bis mittel

Der SpeakDoom Virus verbreitet sich normalerweise über Bluetooth. Eine infizierte SIS-Datei, welche den Virus enthält, wird auf beliebige Smartphones übertragen. Sobald man die Installationsdatei aufruft, installiert sich der Virus. Direkt danach schaltet sich das Handy ab. Nach einem Neustart ist das Handy nicht mehr zum Telefonieren brauchbar – es bleibt beim Laden hängen und zeigt eine blanke Benutzeroberfläche.

Mittels gängiger Antivirus-Software oder manuell ist eine Entfernung nur dann möglich, wenn das Handy neu formatiert und auf die Werkseinstellung zurückgesetzt wird. Dabei droht ein Datenverlust. Zusätzlich kann sich SpeakDoom auf Speicherkarten einnisten – auch diese müssen neu formatiert oder mit Antivirenprogrammen gesäubert werden.

Gängige Antivirensoftware, etwa von F-Secure, Symantec, Avira oder weiteren etablierten Herstellern kann Speakdoom entfernen. Als Vorsichtsmaßnahme gilt auch hier: Niemals unverlangt via SMS oder Bluetooth zugesendete Dateien öffnen oder Installationsroutinen starten.

Wenn man die Virengefahr für Handys betrachtet, wird man auf Virennamen stoßen, welche einen zusätzlichen Index haben. So gibt es von AppDisabler gleich 5 verschiedene Versionen oder von Cabir fast 20. Das Prinzip bei dieser Benennung ist relativ einfach: zunächst gibt es den ursprünglichen Virus in seiner typischen Erscheinungsweise. Der Virus wird nach seinem Quellcode und seinem Schadpotenzial beschrieben.

Sobald der Quellcode allgemein verfügbar ist, nehmen andere Virenprogrammierer diesen auf und ergänzen ihn um eigene Funktionen sowie ggf. weitere Schadroutinen.

Wenn ein Antivirenprogramm nun diesen Urspungsvirus als Signatur erkennt, kann es auch die weiteren Varianten bekämpfen. Das ist längst nicht immer der Fall, weil die Virenprogrammierer oft auch in den Quellcode des ursprünglichen Virus eingreifen und damit eine normale Erkennung erschweren.

Auf dem PC gibt es noch weitere Bedrohungen, die in absehbarer Zeit auch für Handyviren zu erwarten sind: polymorphe Schädlinge. Der Virus ändert in diesem Fall seine Dateilänge, seine Bezeichnung und schaltet gegebenenfalls Schadroutinen an und ab. Damit wird die Erkennung erschwert. Gute Antivirensoftware arbeitet dann nach zwei verschiedenen Szenarien. Als erstes sucht sie nach den Kernfunktionen eines Virus – die sind bekannt. Dazu gibt es heuristische Verfahren, welche die Funktionsweise typischer Viren aufspüren. Nach dem Motto: Wenn ein Programm eigenhändig Verbindungen aufbaut und Dateien versendet, ist es entweder ein Mailprogramm (harmlos) oder da stimmt etwas nicht.

Diese heuristischen Verfahren sind bei aktuellen Virenscannern für Smartphones noch nicht allzu sehr verbreitet. Mit wachsender Bedrohung werden sie jedoch schnell auch für Handys verfügbar werden.

Bis dahin kann man munter weiter die Abarten der Viren durchnumerieren und jeweils eine passende Signatur als Referenz für die Antivirensoftware hinterlegen.

Wer sich eine Antivirensoftware für Handys zulegen möchte, muss bei Download und Installation im Vergleich zum PC erst einmal etwas umdenken. Bei einem normalen Rechner legt man eine CD ein oder lädt einfach das Programm aus dem Web herunter. Entsprechend einfach ist die Installation – Programm ausführen, Neustart, Rechner ist geschützt, fertig.

Ein modernes Smartphone kann auch ins Internet gehen und dort den Download durchführen. Aber hier hat man schon die Auswahl zwischen WAP und regulärem Surfen mit einem Browser. Da die Programme zwar recht kompakt sind, die Internetverbindung aber (außer bei Flatrates) teuer, fällt für viele Anwender dieser Weg aus. Zumal noch eine Schwierigkeit lauert – dazu aber später mehr.

Die meisten werden sich das Antivirusprogramm erst einmal auf dem PC abspeichern, um es per USB-Kabel, Bluetooth oder WLAN auf das Mobiltelefon zu kopieren. Hierfür sollte man die Dienstprogramme des Handys für den PC auf dem Computer installiert haben. Nur so ist ein bequemes Kopieren auf die Speicherkarte möglich. Das kann in Folge etwas hakelig werden, weil nicht alle Dienstprogramme die Installation vom PC aus steuern können. Dann muss man sich auf dem Handy selbst durch die verschiedenen Speichermedien arbeiten, um die Installationsdatei zu finden. Die Benutzerführung diverser Betriebssysteme ist dabei oft alles andere als transparent. Bei Windows macht man einfach den Dateimanager auf, auf den Handys geht dies auch – Funktionen des Dateimanagers sind jedoch oft in Untermenüs versteckt und nicht direkt von der Oberfläche aus zugänglich. Am besten merkt man sich von vornherein sehr genau, wohin die Datei kopiert wird. Bei Updates wiederholt sich das ganze Prozedere.

Auch lästig ist das Hantieren mit verschiedenen Speicherkarten. Daher ist eine Antivirensoftware auf dem eingebauten Speicher des Handy abzulegen. Darauf hat man immer Zugriff, auch, wenn man zwischenzeitlich die zusätzlichen Speicherkarten herausnimmt, weil man Fotos auf den PC kopiert.

Wer also das Installationsprogramm der Antivirensoftware direkt vom PC aus im permanenten Speicher starten kann, lebt komfortabler als bei Installation auf austauschbaren Speicherkarten und direkt auf dem Handy.

Die unterschiedlichen Antivirenprogramme haben zudem deutliche Unterschiede bei Updates. In der Regel sollte man mindestens einmal in der Woche nach geeigneten Updates suchen. Das geht am leichtesten, wenn man direkt vom Handy aus die neuen Versionen nachladen kann und nicht erst manuell mit Dateien arbeiten muss. Bei akuten Bedrohungsszenarien ist ein häufigeres Update nötig mit dem entsprechenden Arbeitsaufwand.

Zusammenfassend:

Auch Antivirussoftware auf dem Handy muss regelmäßig aktualisiert werden

Wer nicht mit dem Handy im Web den Download durchführen möchte, sollte Dateimanager und Installation mit geeigneten Dienstprogrammen vom PC aus durchführen.

Ein wenig Aufmerksamkeit ist angebracht, wo man auf dem Mobiltelefon die Dateien ablegt, am besten im bordeigenen Speicher.

Betroffene Systeme: Symbian, Windows Mobile – alle Java-fähigen Handys
Übertragungsweg: infizierte JAR Datei (Java-Applikation), Bluetooth, WAP, WEB
Schadwirkung: potentiell hoch

Der RedBrowser Virus kommt in einer Java-Installationsdatei vom Typ JAR. Er kann verschiedene Namen tragen, funktioniert jedoch immer nach dem gleichen Muster: Sobald das Programm aufgerufen wird, schickt der Virus SMS an alle möglichen Dienste. Die Schadwirkung ist potentiell hoch, da der Virus zwar selbst nicht sehr viel auf dem Mobiltelefon anstellt, jedoch durchaus auch SMS an die sogenannten Mehrwertdienste schicken kann.

Damit, etwa bei SMS an Dating-Seiten oder Erotik-Anbieter, kann eine einzelne SMS schon einmal ein paar Euro kosten. In Summe ist man recht schnell bei großen Beträgen, die schwierig zurückzufordern sein dürften.

Trotzdem ist die Abwehr dieses als Trojaner arbeitenden Virus relativ leicht. Nur bekannte und als sicher eingestufte Software sollte auf dem Handy installiert werden. Zudem erledigt ein gängiges Antivirenprogramm von Kaspersky, Symantec, Avira oder anderen renommierten Anbietern den Schädling ohne viel Federlesens.

Betroffene Systeme: Windows-PCs
Übertragungsweg: Anschluss des Handy an den PC
Schadwirkung: potentiell hoch

Zunächst einmal zur Klarstellung. Mariposa ist kein klassischer Virus. Es ist eine Funktionalität – Malware – welche einen Rechner korrumpiert und unter die Kontrolle eines anderen versetzt. Vom Handy aus ergreift Mariposa die Kontrollhoheit über einen angeschlossenen Windows PC. Dieser kann dann ferngesteuert für allerlei unschöne Dinge eingesetzt werden – Denial of Service Angriffe, als Proxy für illegale Operationen, Dateienklau oder einfach nur zum Spammen.

Ergo sind die möglichen Folgeschäden beachtlich. Positiv: Android ist selbst nicht betroffen, das Handy ist, isoliert betrachtet, sicher.

Neben einer geeigneten Antivirensoftware auf dem Handy wird dringend ein aktueller Virenscanner nebst weiteren Schutzfunktionen auf dem PC empfohlen. Diese Antivirenprogramme sind in guter Qualität bei bsp. Kasperky, Symantec, F-Secure und anderen renommierten Herstellern verfügbar.

Wir hatten ja schon über das Problem von Vodafone (Viren) in Spanien mit dem HTC Magic berichtet. Nachdem es erst einmal hieß, dies seien Einzelfälle, wird jetzt von Techchannel und anderen Quellen über eine weitaus heftigere Infektion berichtet.

Bis ca. 22. März sollen rund 3.000 Handys ausgeliefert worden sein, auf denen der Mariposa Virus sitzt. Das Problem soll durch die Speicherkarten entstanden sein, welche nach Angaben aus Spanien virenverseucht waren.

Allerdings stellt sich mir da eine Reihe von Fragen. Vodafone sagt auffallend wenig zu diesem Problem, was ist da genau los? Wenn es eine Ente wäre, könnte man eine entsprechende Klarstellung erwarten. Wenn es ein größeres Problem ist, liegt die einzige Lösung in einer lückenlosen Aufklärung. Und noch etwas irritiert mich. Normalerweise werden nicht nur 3.000 Speicherkarten auf einen Schlag fabriziert. Da geht es in der Regel um ganz andere Größenordnungen. Man darf gespannt sein, wie sich diese Rätsel entflechten.

Betroffene Systeme: Symbian
Übertragungsweg: SMS
Schadwirkung: mittel

Der Virus SMS Curse wird teilweise auch als Curse of Silence bezeichnet. Er lässt die Funktionen eines Mobiltelefons für den Bereich SMS /MMS ausfallen und greift ansonsten nicht weiter in das Handy ein. Damit bleibt das Gerät für den normalen Telefongebrauch im Bereich Sprachdienste nutzbar.

Richtig lästig wird der Virus dadurch, dass er von jeder beliegen SMS-Quelle auf das anzugreifende Gerät gesendet werden kann. Danach fällt beim Handy die SMS Funktionalität aus. Betroffen sind Symbian S 60 Systeme in den Ausgaben 2 und 3, also second und third Edition. Empfehlenswert ist daher ein Download und Update von Symbian auf aktuelle Versionen, die nicht mehr angegriffen werden können.

Handelsübliche Antivirensoftware von F-Secure, Symantec oder Kaspersky etc. erledigt den Schädling zuverlässig.

Betroffene Systeme: Symbian
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: gering bis mittel

Der Cardblock-Virus verschlüsselt mit einem beliebig gewählten Passwort die Speicherkarte eines Mobiltelefons. Zudem greift er vorhandene SMS und MMS an und löscht diese. Damit ist dieser Virus zunächst einmal extrem lästig, jedoch nicht wirklich gefährlich. Sobald das Handy neu gestartet wird, sind die Daten erst einmal weg.

Etwas ärgerlicher ist schon die Beschädigung von Systemdateien, welche das Telefon instabil oder unbrauchbar machen können.

Solange das Handy noch nicht neu gestartet wurde, kann man die Inhalte der Speicherkarte vorsichtig auf einem PC sichern. Vorsichtig will heißen, dass man natürlich einen guten Virenscanner einsetzen muss, wenn man die Daten überträgt. Ältere Handys, etwa Nokia 6600 können selbständig die beschädigten Dateien reparieren. Bei neueren Modellen helfen Notdienste und Spezialisten zur Wiederherstellung von Daten.

Cardblock wird von gängigen Antivirenprogrammen, etwa Kaspersky, Symantec, Avira oder F-Secure zuverlässig erkannt und vernichtet.

Betroffene Systeme: Symbian
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: niedrig

Fontal A ist ein Virus, der sich in die Schriftdateien eines Mobilfunkgeräts einnistet. Er installiert eine korrumpierte Schriftart, welche das Handy beim nächsten Neuvorgang lahmlegt. Dieser Virus hat bislang keine besondere Schadroutine, sondern hält das Handy einfach beim Bootvorgang durch einen Fehler an. Mit ein wenig Glück startet das Handy trotzdem und man kann den Virus entfernen.

Hierfür eignen sich alle gängigen Antivirenprogramme der renommierten Hersteller, also Symantec, Avira, Kaspersky oder ähnliche. Auch ist zumnidest in der Version A eine manuelle Entfernung möglich, indem man c:\System\apps\appmngr löscht und die infizierte SIS-Installationsdatei entfernt. Ein noch radikalerer Schritt wird nötig, wenn das Handy gar nicht mehr starten will. In diesem Fall muss man es auf die Werkseinstellungen zurücksetzen (steht im Handbuch), verliert dabei aber durch eine Neuformatierung alle gespeicherten Telefonnummern und Kontakte.

Betroffene Systeme: Windows, Windows CE, Windows Mobile
Übertragungsweg: Synchronisation von Handy und PC
Schadwirkung: hoch

Der CXOver Virus greift mobile Geräte vom PC aus an. Die Synchronisierungsfunktionen von Windows zum Handy oder umgekehrt dient hierbei als Angriffsweg. Auf dem Handy löscht CXOver alle Dateien im persönlichen Ordner und setzt sich zudem im Rootverzeichnis mit einer Kopie fest. Dazu stellt er sicher, dass er beim nächsten Neustart mit gebootet wird.

Auf einem Windows PC erstellt er Kopien von sich und sorgt für ein Laden beim Neustart des Rechners. Er öffnet die RAPI (Remote Application Program Interface) Schnittstelle und wartet, bis ein mobiles Windows Gerät an den Rechner angeschlossen wird. Danach kopiert er sich auf das Handy und startet die Infektion.

Für die Beseitigung von CXOver benötigt man neben Antivirensoftware auf dem Handy zeitgleich auch ein Antivirusprogramm auf dem PC. Damit ist dieser Virus extrem lästig in heterogenen Umgebungen aus PC und mobilen Geräten. Der einzige Vorteil ist seine Schwäche in der Verbreitung. CXOver ist auf Funktionalitäten von Microsoft .NET angewiesen, um sich erfolgreich zu replizieren. Wer diese Funktionen nicht hat oder sehr restriktiv einstellt, ist sicher unterwegs.

Dringend sind Updates auf die neuesten Aktualisierungen von sowohl dem Betriebssystem des Handys, wie auch des Rechners empfohlen. Normale Antivirensoftware beseitigt die Bedrohung.