Betroffene Systeme: Symbian S60 third Edition
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: mittel

Yxe ist ein Wurm in verschiedenen Varianten. Allen gemeinsam ist der Infektionsweg, bsp. durch Überzeugung des Opfers, die Installation auszuführen. Yxe wird daher hauptsächlich in sozialen Netzen vervielfältigt, bei denen vermeintlich seriöse Gesprächspartner MMS zusenden oder den Virus als SIS-Datei über das Internet bewerben.

Auf dem Handy versucht Yxe nach erfolgreicher Installation, Daten des Smartphones auszulesen und diese in Form von Logdateien über eine http-Verbindung an einen Server zu übermitteln. Die http-Adresse ist kann hierbei variieren. Zusätzlich legt der Virus eine Kopie von sich selbst an. Dazu wird noch der Applikationsmanager beschädigt wie auch eventuelle fremde Dateimanager. Dann erfolgt ein Auslesen der Kontaktliste und ein Versand der Virus-Kopie an alle Kontakte.

Genau wie Transmitter gibt es ein Problem mit der Authentifizierung der SIS-Datei. Verschiedene Varianten von Yxe nutzen ein Zertifikat von Symbian, das zwischenzeitlich widerrufen wurde. Wie so manche andere Viren kommt Yxe aus China. Daher ist absolute Vorsicht angebracht, wenn man entweder über soziale Netze (in China ist Raubkopieren Volkssport) oder sonstwie chinesische Software angeboten bekommt.

Zu den Abwehrmaßnahmen: S60 Handys können widerrufene, also ungültige, Zertifikate erkennen, wenn man im Applikationsmanager die Liste aktueller Zertifikate auf den neuesten Stand bringt. Hierfür ist eine Internetverbindung nötig, damit man sich von Symbian die aktuelle Liste herunterladen und aufs Handy überspielen kann. Yxe würde in diesem Fall schon durch das Betriebssystem abgelehnt. Der Virus taucht nach Installation als normale Applikation auf dem Handy auf und kann ganz normal gelöscht werden. Hierfür sollte man sich den Namen gemerkt haben, mit dem Yxe sich während der Installation gemeldet hatte.

Noch besser ist natürlich Antivirensoftware von westlichen Herstellern, die mit dem Schädling kurzen Prozess machen. F-Secure, Umu, Symantec oder auch Kasperky haben entsprechende Antivirenprogramme.

Betroffene Systeme: Symbian S60
Übertragungsweg: MMS, Bluetooth, Installationsdatei (SIS)
Schadwirkung: gering

Mabir ist eine funktional erweiterte Schadroutine ähnlich des Cabir-Virus, daher auch die ähnliche Bezeichnung. Er kann Symbian S60 Geräte infizieren, indem er nach in der Nähe befindlichen Bluetooth-Geräten sucht. Zusätzlich lauscht Mabir nach einkommenden SMS sowie MMS und sendet eine infizierte SIS-Datei zurück an den Absender. Hier ist dann auch Vorsicht angebracht, da MMS nicht nur Bilder oder Töne umfassen können – eine häufige Fehlannahme – sondern auch SIS-Dateien und darin enthaltene Viren.

Beim Versand via Bluetooth benutzt Mabir immer den Dateinamen caribe.sis, beim Versand via MMS immer den Dateinamen info.sis. Der darin enthaltene Virus ist derselbe.

Ein gängiges Antivirus-Programm, etwa F-Secure, Umu, Symantec oder Kaspersky blockt Mabir ab und kann ein infiziertes Handy säubern. Da der Virus schon älter ist und aktuelle Versionen von Symbian deutlich bessere Schutzmechanismen haben (Verifizierungscode der SIS-Datei), sind die neuesten Handys weniger gefährdet. Trotzdem ist und bleibt eine Antivirensoftware für Smartphones empfehlenswert.

Betroffene Systeme: Symbian S60
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: niedrig

Der Virus PBSteal scheint eine Weiterentwicklung von Cabir zu sein. Die Schadroutine ist ein wenig merkwürdig. Einmal installiert, liest PBSteal das komplette Kontaktverzeichnis aus (PBSteal=PhoneBook Steal). Der Virus sucht dann nach Bluetoothgeräten in der Nähe und überträgt wiederholt alle Kontakte hübsch formatiert an die nächstmögliche Bluetoothverbindung. Gemunkelt wird, dass es sich um einen chinesischen Programmierer handelt, welcher PBSteal schrieb.

Falls man den Virus nicht mit gängiger Antivirensoftware von bspw. F-Secure, Umu, Symantec oder Kaspersky entfernen möchte, ist auch eine manuelle Löschung möglich.

Folgende Dateien sind zu entfernen:

C:\system\apps\pbexplorer\pbexplorer.rsc
C:\system\Mail\00110001_S\PBDeveloper.rsc
C:\SYSTEM\MAIL\PHONEBOOK.TXT – die geklaute Kontaktliste

Trotzdem ist der Einsatz eines Antivirus-Programms empfehlenswert, da nicht ausgeschlossen werden kann, dass weitere Viren oder neuere Versionen von PBSteal auf dem Handy vorhanden sind.

Es ist gut, wenn man einen Virenscanner auf dem Handy hat. Noch besser ist es, wenn dieser nichts kostet. So gibt es einige Hersteller, welche Downloads von Testversionen anbieten oder – noch besser – gleich ihr Antivirenprogramm als Freeware anbieten. Allerdings handelt es sich nicht in allen Fällen um die aktuellsten Versionen, welche auch vor ebenso aktuellen Gefahren einen Schutz anbieten.

So gibt es von Smartpctools.com einen kostenlosen Virenscanner fürs Handy, der aber bei einigen Downloadplattformen nur in der Version vom 24.05.2009 angeboten wird, also fast ein Jahr alt. Auf der Herstellerseite habe ich keine aktuellere Version gefunden. Inzwischen gibt es jedoch neue Bedrohungen, denen man begegnen sollte. Deutlich besser sieht es da bei F-Secure aus, deren Testversion immer ziemlich aktuell ist. Zurzeit gibt es die Version vom Februar 2010, das reicht erst einmal für einen brauchbaren Basisschutz. Auch von Avira`s Antivir Mobile gibt es leidlich aktuelle Versionen im Web, wenn man etwas herumsucht.

Der Schutz vor Viren alleine ist aber nicht der einzige Punkt, nach dem man die Software auswählen sollte. Beispielsweise F-Secure hat gegenüber einfacheren Systemen einen guten Funktionsumfang mit zusätzlicher Diebstahlsicherung – kann aber nur 7 Tage als Testversion genutzt werden. Avira ist 30 Tage nutzbar, jedoch etwas schwächer qua Ausstattung. Sehr leistungsfähig ist auch Kaspersky Anti-Virus Mobile, das ebenfalls als recht aktuelle Testversion zur Verfügung steht.

Die Downloads für mobile Antivirensoftware werden oft von den Download-Plattformen etwas stiefmütterlich behandelt. Die Suche nach den aktuellsten Versionen ist lästig – längst gibt es nicht überall aktuelle Versionen. Ein Blick aufs Erzeugungsdatum der Datei ist daher auch vor der Installation empfehlenswert.

Selbstredend sollte man Antivirensoftware nur von bekannt zuverlässigen Webseiten herunterladen. In Deutschland sind dies beispielsweise magnus.de, chip.de oder pcwelt.de oder natürlich die Hersteller selbst. Auf dubiosen Seiten kann man sich sehr schnell einen Virus einfangen, wenn sich das vermeintliche Schutzprogramm selbst als Schädling erweist – Dateien kann man beliebig benennen.

Betroffene Systeme: Symbian S60 – normalerweise nur second Edition
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: mittel

Multidropper kommt als SIS Installationsdatei aufs Handy. Der Virus selbst hat keine größere Schadwirkung, trägt aber verschiedene andere Viren als Nutzlast auf die betroffenen Geräte. Damit ist Multidropper durchaus zu mittleren Schadwirkungen fähig, wenn beispielsweise die Viren/Trojaner Beselo, Commwarrior, Fontal oder in einigen Versionen auch Kiazha auf ein Handy gelangen.

Der Schutz vor Multidropper ist recht einfach. Nur vertrauenswürdige Software sollte installiert werden. Vorsicht ist vor allem bei den SIS-Paketen angebracht, welche reißerische Namen haben und nicht von offiziellen Herstellerseiten oder bekannt seriösen Quellen kommen. In jedem Fall ist ein adäquates Antivirenprogramm von bsp. Symantec, F-Secure, Umu oder Avira empfehlenswert, das den Schädling erkennen und eliminieren kann. Je nach “Nutzlast” von Multidropper bleibt ansonsten nur der Reset des Handys auf die Werkseinstellungen, wodurch gespeicherte Kontakte sowie Daten verloren gehen.

Betroffene Systeme: Symbian S60 second Edition
Übertragungsweg: Installationsdatei (SIS), Kiazha kommt häufig durch einen anderen Virus namens Multidropper aufs Handy
Schadwirkung: niedrig

Ein kleiner Erpresser ist der Symbian Virus Kiazha. Erst einmal etwas zum Namen – dieser wird bei den Herstellern von Antivirensoftware unterschiedlich gehandhabt. Entsprechend ist dieser Virus auch als Kuku oder QQSend bekannt.

Sobald er sich auf dem Handy eingenistet hat, löscht er die vorhandenen SMS und sendet selbst eine SMS an eine im Virus frei definierbare Nummer. Das kann teuer werden, wenn hiermit “Mehrwert”dienste wie Klingeltöne oder Telefonsex abonniert werden. In der Ursprungsversion bekommt der Nutzer hierdurch einen Account beim Messaging Dienst Tencent QQ in Asien – dem dort am weitesten verbreiteten Netz für Messaging. Angesichts der in China grassierenden Virengefahr und der aggressiven Vermarktung, verwundert es mich nicht, dass einige den Virus als Kundengewinnungs-/Installationsoption ansehen, vor allem westliche Firmen jedoch deutlich vor dem Schädling warnen. Normalerweise wird Kiazha als Nutzlast des Virus Multidropper auf einem Handy installiert.

Es gibt aber auch Varianten, die netterweise die Beseitigung des Virus anbieten. Dafür darf man dann an einen chinesischen Dienst 50 Yüan (oder wie auch immer man das schreibt), also 50 CNY bezahlen. Der Virus ist zudem technisch in der Lage, die IMEI (International Mobile Equipment Identity) Identifikationsnummer des Handys sowie die Version des Betriebssystems Symbian an die angegebene Nummer zu übermitteln.

Kiazha, also QQSend oder Kuku kann durch gängige Virensoftware von Symantec, F-Secure, Kaspersky oder weiteren Herstellern eliminiert werden. Bitte beachten Sie jedoch, dass in der Regel auch das “Mutterschiff” Multidropper entfernt werden muss.

Betroffene Systeme: Symbian S60 third edition
Übertragungsweg: MMS, Aufruf einer korrumpierten Webseite
Schadwirkung: niedrig

Der Virus MMS Bomber ist zunächst in China aufgetreten. Er tarnt sich als normale Applikation, wobei verschiedene Namen verfügbar sind. Einmal gestartet, nistet sich MMS Bomber im Betriebssystem ein und versendet gleichzeitig Nachrichten an alle Einträge im Adressbuch. Werden diese MMS auf dem Handy des Empfängers aufgerufen, erstellt der Virus eine Internetverbindung zu einer vorher definierten Webseite. Damit erfolgt dann auch die Infektion. Die Handys sind danach kaum noch funktionsfähig und eine Entfernung ohne Antivirensoftware ist sehr schwierig. Ein Reset des Handys auf Werkseinstellungen eliminiert den Wurm, wobei jedoch die Kontakte oder auch gespeicherte SMS/MMS verloren gehen.

In China hat sich der Virus anscheinend wie eine Lawine ausgebreitet, sagt zumindest NetQuin, ein dortiger Anbieter von Antivirensoftware. In Europa oder Amerika war hingegen nichts besonderes zu spüren. Trotzdem sind auch die hiesigen Anbieter von Antivirus-Software gegen den Schädling gewappnet.

Die Klassifikation als niedrige Schadstufe erfolgt für Europa und Amerika, da MMS Bomber bislang ein eher lokales Problem ist.

Betroffene Systeme: Symbian S60 second Edition und älter
Übertragungsweg: Installationsdatei (SIS), MMC-Speicherkarte
Schadwirkung: niedrig

Der HatiHati Virus entstand aus einer Software, die verloren gegangene Handys aufspüren sollte. Einmal aktiviert, sendet er eine Menge SMS an eine vordefinierte Nummer. Hierbei kann eine enorm hohe Telefonrechnung entstehen. Für den urpsrünglichen Schutz vor Diebstählen sah das Programm vor, beim Einlegen einer neuen SIM-Karte eine Warnung abzusetzen. Die Schadvariante macht dies ständig. Absolut teuer kann dabei die Anwahl von “Mehrwert”diensten oder Abos werden. Bislang aufgetretene Varianten des Wurms sind nur durch Tausch von zusätzlichen Speicherkarten übertragbar – die gefährlicheren Übertragungswege Bluetooth oder SMS beherrschen die HatiHati Varianten noch nicht.

Zur Abwehr reicht also ein Virenscan mit aktueller Antivirensoftware von Symantec, F-Secure, Kasperky oder ähnlichen Programmen. Man kann den Virus auch manuell entfernen, indem man (mit komplettem Datenverlust) das Handy auf die Werkseinstellungen zurücksetzt und die Speicherkarte neu formatiert.

Neben immer mehr Funktionalitäten sind mittlerweile auch erstaunlich viele Prozesse zur Bezahlung mit einem Handy machbar. Die Beträge werden dann einfach über die Telefonabrechnung beglichen. Das ist einerseits bequem, weil man nicht gleich umständlich seine Kreditkarte zücken muss. Andererseits ist im Falle von Problemen auch ein erheblicher Mehraufwand nötig, wenn man beispielsweise sein Geld zurückbekommen möchte.

Vor allem kleinere Beträge, etwa für Klingeltöne oder Browserspiele, sind heute gerne per Handy bezahlt. Hierzu muss man allerdings wissen, dass die Mobilfunkanbieter kräftig die Hand aufhalten. Es ist durchaus üblich, dass bei Beträgen bis ca. 5 Euro 40% – 50% der Zahlungssumme für die Abwicklung vom Provider einbehalten werden. Das staffelt sich nach den Volumina der Umsätze, unter 20% kommt kaum jemand davon. Der eigentliche Anbieter erhält also im schlimmsten Fall nur die Hälfte an Einnahmen des Rechnungsbetrags. Das ist natürlich von vornhinein einkalkuliert und mit einem Aufschlag in der Kalkulation versehen und macht den Dienst im Endeffekt für den Kunden teurer.

Bei einer Kreditkarte gibt es andere Abrechnungsmöglichkeiten. Man kann bei unterschiedlichsten Firmen entweder rein nach Prozenten abrechnen oder nach einem Fixbetrag und etwas geringeren Prozenten. Im günstigsten Fall kommt der Anbieter mit rund 5% Kosten für die Transaktion davon. Entsprechend oft ist die Bezahlung per Kreditkarte für den Endkunden dann auch etwas günstiger – falls sie angeboten wird.

Aus Endkundensicht ist noch etwas anderes interessant. Falls es Probleme bei den Diensten/Käufen und der Abrechnung geht, ist man bei vielen Kreditkarten besser dran, als bei Abrechnungen per Handy. Je nach Art der Kreditkarte sind Rückbuchungen bis zu 6 Monaten möglich. Die Kreditkartenfirmen sind dann gegenüber problematischen Anbietern mit einer deutlich stärkeren Stellung unterwegs, um unberechtigte Forderungen oder Reklamationen abzuwehren. Bei Bezahlung via Handy ist dagegen der Rechnungsbetrag längst verbucht und zwischen Provider sowie Anbieter aufgeteilt. Da wieder heranzukommen, gestaltet sich oft schwierig – vor allem, wenn ein Virus kostenpflichtige Dienste angerufen oder abonniert hat.

Wer die Kosten für eine Kreditkarte scheut, braucht nicht gleich verzweifeln, das geht billiger. Unter kostenlose Kreditkarte sind einige Karten aufgeführt, bei denen keine Jahresgebühren oder ähnliches anfallen. Das ist ein guter Weg, wenn man die zusätzliche Sicherheit gegenüber Abrechnungen per Handy möchte, aber nicht gleich 20 oder mehr Euro im Jahr nur für Gebühren ausgeben will.

Dies gilt um so mehr, wenn man nur mit einem Prepaid-Handy unterwegs ist. Hier irgendetwas zurückzubekommen, ist Sysiphusarbeit. Immerhin sind die Beträge einer Zahlung dann schon längst aufgeteilt zwischen Provider und Anbieter. Selbst eine Prepaid-Kreditkarte bietet da mehr Sicherheit – man hat erst einmal auch nur einen Ansprechpartner, mit dem man sich auseinandersetzen muss. Besonders, wenn man sich einen Virus eingefangen hat und nun selbst in der Haftung ist.

Betroffene Systeme: Symbian
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: niedrig

Von RomRide gibt es verschiedene Varianten, RomRide A bis aktuell J. Der Virus kommt als Installationsdatei (SIS) aufs Handy und hat einige unschöne Eigenschaften. Bei der Aktivierung des Virus werden wichtige Systemdateien überschrieben, welche einen Neustart des Handys (Reboot) unmöglich machen. Das Handy “hängt sich auf”, da es wichtige Funktionen nicht erreichen kann. Damit die Schadwirkung möglichst schnell eintritt, fährt RomRide das Handy herunter, damit es, wie eben beschrieben, beim Neustart funktionsunfähig ist. Einige Varianten von RomRide spielen zuvor noch eine kleine Audiodatei. Das ist denn auch ein sehr guter Hinweis, dass mit dem Mobiltelefon etwas nicht stimmt.

Zur Beseitigung von RomRide hilft nur ein Hardware-Reset des Handys auf die Werkseinstellungen. Dabei gehen Kontakte und gespeicherte Daten verloren. Avira, F-Secure oder auch Symantec schützen mit ihrer Antivirensoftware vor einer Infektion.