Betroffene Systeme: Symbian S60 third Edition – dritte Ausgabe
Übertragungsweg: Installationsdatei (SIS), Webdownload, WAP-Download, SMS
Schadwirkung: niedrig bis mittel

Recht hinterhältig ist der Virus Sexy Space – ein Trojaner mit Multiplikationsfähigkeiten eines Wurms. Dessen Programmierer haben es geschafft, die eigentlich der Symbian Foundation vorbehaltene digitale Signatur für sichere Programme zu umgehen. Kur zur Erinnerung: eigentlich sollten nur solche Programme ohne Probleme installierbar sein, die ein Zertifikat von Symbian haben, weil sie als unbedenklich eingestuft wurden. Der Virus gibt sich meist als folgende Datei aus: ACSServer.exe. Einmal aktiviert, hat Sexy Spaces ein recht übles Repertoire an Schadwirkungen. Er liest das komplette Adressbuch aus und schickt SMS mit Links zu dubiosen Seiten an die Kontakte. Werden die Seiten von einem anderen Symbian-Handy angewählt, können sie sich ebenfalls infizieren. Darüber hinaus versucht er Kontakt mit Webservern aufzubauen, denen er sämtliche Daten des Handy-Eigentümers schicken möchte. Nicht auszuschließen ist eine Versendung von SMS an sogenannte “Mehrwertdienste”, also bspw. Telefonsexanbieter, die dann kräftig mit Abos kassieren wollen. Man darf gespannt sein, ob es Weiterentwicklungen des Virus geben wird, die weitere Schadroutinen beinhalten. Entstanden ist Sexy Spaces aus der Entwicklungslinie Sexy View / Exy Versionen A-D. Ein Antivirenprogramm ist dringend empfohlen.

Mittlerweile wird der Virus seltener, da auch mit bekannter Antivirensoftware wie F-Secure, Symantec, Avira oder vergleichbaren Programmen erfolgreich gegen ihn vorgegangen wurde.

FlexiSpy ist eine kommerziell erhältliche Software. Für rund 150 Dollar kann man sie direkt beim Hersteller beziehen. Auf einem Handy installiert, ist FlexiSpy zu einer fast vollkommenen Überwachung fähig. Es ist beispielsweise möglich, alle SMS oder die Daten von Telefonverbindungen mitzulesen. Auch kann FlexiSpy benutzt werden, um ein Smartphone als Wanze zu benutzen. Sowohl der Ort von Gesprächen ist ermittelbar – GPS machts möglich – als auch sogenannte Spycalls, bei denen das Telefon von außen aktiviert wird und munter alle Töne und Gespräche an Dritte überträgt, gehören zum Funktionsumfang.

Beispielsweise F-Secure stuft entsprechend FlexiSpy als Trojaner ein. Meines Erachtens nicht zu Unrecht, weil auch weitere Funktionen eines Handys aktiviert werden können, ohne, dass ein Opfer dies merkt. Vor allem im geschäftlichen Umfeld ist daher Vorsicht angebracht, wenn man mit einem infizierten Handy etwa in wichtige Besprechungen geht. Das infizierte Telefon kann wirklich alle relevanten Daten übermitteln, ohne, dass der Benutzer dies merkt.

FlexiSpy ist für verschiedene Betriebssysteme erhältlich. Versionen für Symbian, Windows Mobile, Blackberry und iPhone sind verfügbar. Also ist das Programm auch für alle relevanten Business-Handys gefährlich.

Die Anwendung in Deutschland – etwa zum Abhöhren oder Mitlesen von SMS und Emails, ist verboten, wenn der Besitzer/Benutzer des Handys nicht ausdrücklich zugestimmt hat. Das dürfte angesichts des Funktionsumfangs der Software dann doch eher unwahrscheinlich sein.

F-Secure und andere Antivirensoftware kann FlexiSpy erkennen und eliminieren.

Betroffene Systeme: Symbian, Windows Mobile, teilweise Android, teilweise iPhone – alle Java-fähigen Handys
Übertragungsweg: Installationsdatei (JAR/JAD)
Schadwirkung: niedrig

Ursprünglich scheint Smarn zur Auffindung verlorengegangener Handys geeignet. Heute wird Smarn gerne von betrügerischen Dienstleistern genutzt, welche bspw. Telefonsex oder andere “Mehrwert”dienste anbieten. Der Virus kann frei für gewünschte Rufnummern konfiguriert werden, an die er bei Aktivierung eine SMS sendet. Nach der Installation der Java-Datei erscheint eine neue Applikation auf dem Handy. Wird diese ausgeführt, erfolgt der Versand der SMS. Damit sind bei jeder Aktivierung ansehnliche Beträge für die Telefonrechnung fällig – auch können hier kostenpflichtige, langfristige Abofallen lauern. Ein Hinweis auf den Virus ist dann auch die Rechnung des Providers mit nicht erklärbaren Beträgen. Zu beachten ist, dass der Virus in fast jede Sprache übersetzt werden und mit beliebigen Namen versehen werden kann.

Aktuelle Antivirensoftware erkennt den Virus und kann ihn stoppen. Hier wären F-Secure, Symantec, Avira oder UMU zu nennen.

Betroffene Systeme: Symbian
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: niedrig

Es gibt mehrere Varianten des KillAV Virus. Allen gemein ist eine Zerstörung vorhandener Antivirensoftware sowie eine Beschädigung von Applikationen. Der Virus kommt entweder als vermeintliche Installationsdatei oder als Theme – also Hintergrundbild – aufs Handy. Vorhandene Applikationen und insbesondere Antivirenprogramme werden dadurch beschädigt, dass der Virus untaugliche, im Code veränderte Dateien der ursprünglichen Applikationen anlegt. Die normalen Programme sind dann durch die vom Virus eingebauten Fehler nicht mehr funktionsfähig. Die Variante KillAV.HQ ist ein eher seltener Trojaner mit der Möglichkeit einer kompletten Kontrolle.

Der Start des Virus muss manuell durch Zutun des Benutzers erfolgen. Dabei benennen sich die verschiedenen Versionen von KillAV unterschiedlich. Zu Vorsicht wird also geraten, wenn eine unbekannte, ausführbare Datei auf dem Handy erscheint und installiert werden kann. Vor einer Infektion schützt normale Antivirensoftware für Handys von Symantec, Avira, F-Secure oder UMU.

Alle aktuellen Antivirus-Lösungen haben kleinere Nebenwirkungen für das Handy. Wenn eine Antivirus-Software dauernd im Hintergrund mitläuft, reduziert sich die Standby-Zeit des Geräts. Dies wird um so gravierender, wenn die Akkulaufzeit des Handys sowieso eher knapp bemessen ist. Jeder Scanvorgang verbraucht zudem Strom, weil Prozesse abgearbeitet und auf die Speicher zugegriffen wird.

Daher kann man ein wenig darauf achten, wie man den Full-Scan, also eine komplette Prüfung durch das Antivirenprogramm, durchführt. Fast jede Software ermöglicht die Einstellung nach Scanintervallen. Wer keine MMS empfängt und Bluetooth abgeschaltet hat, braucht in der Regel nur einmal in der Woche eine vollständige Systemprüfung.

Auch eine Prüfung auf Updates für die Antiviren-Software ist regelmäßig durchzuführen. Hier kann man keine eindeutige Empfehlung geben. Wenn ein neuer Virus auftaucht, ist eine schnellstmögliche Reaktion nötig. Andererseits gibt es auf dem Handy nicht so häufig neue Schädlinge wie beim PC, der mindestens einmal am Tag die aktualisierten Virendefinitionen nachladen sollte. Hilfreich ist es auf jeden Fall, einen Newsletter zu bestellen, der einen Nutzer zeitnah über neue Bedrohungen informiert. In der Regel verbleibt dann genügend Zeit, die Schutzmaßnahmen zu aktualisieren.

Nicht zu vergessen ist die Aktualität des Betriebssystems. Werden Sicherheitslücken bekannt, erfolgt meist eine schnelle Programmierung von Viren oder anderen Schadprogrammen, welche die Lücke ausbeuten. Ebenso schnell ist aber oft ein sogenannter Patch oder Bugfix verfügbar, welcher das Sicherheitsloch beseitigt. Hier liefern einschlägige Foren sowie die Webseiten der Hersteller entsprechende Informationen. Auf jeden Fall ist ein Download aktueller Antivirensoftware empfehlenswert, wenn schon die Medien vor Sicherheitslücken warnen.

Betroffene Systeme: Symbian S60 second Edition
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: niedrig

Der KBlock Virus ist ein recht lästiger Geselle. Er kommt als Installationsdatei (SIS) aufs Handy und baut sich als vermeintlich normale Applikation in das System ein. Meist wird hierfür der Name “Lock Me” verwendetet. Wird der Virus aktiv (etwa durch Anklicken seiner Applikation) führt jede weitere Benutzung des Tastatur oder sogar des Ein/Ausschalters zu einer kompletten Blockade des Handys. Das Mobiltelefon ist in diesem Fall vollkommen unbenutzbar geworden. Selbst, wenn man den Akku herausnimmt und so das Handy ausschaltet, bleibt der Virus mit seiner Schadwirkung beim nächsten Start voll funktionsfähig.

Die einzige Möglichkeit zur Wiederherstellung des Handys ist ein Reset, bei dem jedoch alle vorhandenen Daten verloren gehen. Besser ist der Einsatz geeigneter Antivirus-Lösungen, welche den Schädling bereits beim Kopiervorgang erkennen und ausschalten. Gängige Antivirensoftware von F-Secure, Symantec oder anderen renommierten Herstellern schafft dies.

Betroffene Systeme: Symbian S60
Übertragungsweg: Bluetooth, MMS, Installationsdatei (SIS)
Schadwirkung: niedrig

Commwarrior beschreibt gleich eine ganze Familie von Viren, die ihren Ursprung wahrscheinlich in Russland hat. Es handelt sich um einen Wurm, der sich via Bluetooth und MMS/SMS verbreiten kann. Bei Aktivierung sucht Commwarrior nach in der Nähe befindlichen Bluetooth-Geräten. Findet er eines, das auf Empfang eingestellt ist, wird eine mit dem Virus korrumpierte Datei an das entsprechende Handy gesendet. Dabei sind die Bezeichnungen der SIS-Dateien willkürlich gewählt -  es gibt also keinen einzigartigen Dateinamen, vor dem man sich besonders in acht nehmen kann. Zusätzlich grast Commwarrior das Adressbuch des infizierten Mobiltelefons ab und sendet Kopien von sich selbst an alle gefundenen Einträge. Commwarrior B gibt eine Warnung aus, indem er eine Infektion des Handys meldet, Commwarrior D meldet sich auf Spanisch, die Variante H nutzt eine eventuell vorhandene zusätzliche Speicherkarte als Installationsort, Commwarrior Q sucht zusätzlich nach bereits vorhandenen SIS-Dateien und versucht, diese zu infizieren.

Wer mit Antivirus-Software von Symantec, F-Secure, Avira oder Eset geschützt ist, kann den Schädling abfangen und im Fall einer Infektion auch eliminieren.

Betroffene Systeme: Symbian S60 second Edition
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: niedrig

Porndial ist kein klassischer Virus in der Ursprungsversion, eher Riskware. Es handelt sich um einen Dialer, welcher um Funktionen ergänzt wurde. Der Virus kommt als Installationsdatei (SIS) aufs Handy, welche Zugang zu erotischem Inhalt verspricht. Einmal installiert, kann Porndial versuchen, teure Mehrwertdienste anzurufen. Hier muss man unterscheiden zwischen der Ursprungsversion sowie gecrackten Versionen. Die Ursprungsversion ist auf eine Webseite beschränkt – man könnte dies als eine Form sehr aggressiver Werbung für die entsprechende Seite betrachten. Gecrackte Versionen machen sich selbständig und können die vom jeweiligen Autor zusätzlich eingebauten Webseiten anwählen. Außer einer hohen Telefonrechnung entsteht ansonsten wenig Schaden.

Die Entfernung sollte man einem vertrauenswürdigen Antivirenprogramm wie Symantec, F-Secure, Bit-Defender oder Avira überlassen, da eine manuelle Entfernung zwar möglich ist, jedoch wegen unübersichtlichen Dateien etwas lästig.

Betroffene Systeme: Symbian
Übertragungsweg: Installationsdatei (SIS), ausführbare Datei (exe)
Schadwirkung: niedrig bis mittel

Von Delfiles gibt es verschiedene Varianten. An sich ist der Virus eine direkt ausführbare Datei. Es sind aber auch schon Formen aufgetreten, bei denen Delfiles in SIS-Installationsdateien integriert wurden. Der Wirkungsmechanismus ist recht einfach, wenn auch mit ggf. sehr unangenehmen Folgen: Delfiles löscht alles, was er erkennt. Dabei werden sowohl die Dateien auf dem eingebauten Speicher des Handy, wie auch auf zusätzlichen Speicherkarten angegriffen. Telefonkontakte und SMS sind anschließend ebenso verschwunden, wie auch ungeschützte Systemdateien oder Applikationen. Die Schadwirkung ist nur dann mittel, wenn man die Dateien noch benötigt. Ansonsten ist es eher ein harmloser Virus, da sich im schlimmsten Fall verschiedene Dateien (wenn auch teuer) bei Datenrettungsdiensten wiederherstellen lassen.

Geeignete Antivirenprogramme sind bei F-Secure, Symantec oder auch Avira verfügbar, welche den Virus schon vor der eigentlichen Schadwirkung stoppen können.

Betroffene Systeme: Symbian
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: niedrig bis mittel

Die Familie der Doomboot-Viren kommt als installierbare SIS-Datei aufs Handy. Dabei verspricht der Virus in der Regel Bilder von bekannten Persönlichkeiten als Bildschirmhintergrund – bsp. Angelina Jolie. Tatsächlich ist nach der Installation auch Bildmaterial der Berühntheiten zu finden. Ebenso zu finden ist aber auch die “Nutzlast” von Doomboot. Bei Doomboot D bekommt man gleich den Virus Fontal A mitgeliefert, der das Handy durch Übertragung einer korrumpierten Schriftdatei faktisch lahmlegt. Doomboot A bis C  haben Nettigkeiten wie Commwarrior B im Gepäck bis hin zu Doomboot U, V, oder W, die sich dann als vermeintliche Antivirenprogramme von Symbian ausgeben können und nochmals andere Schadsoftware mitführen.

Aktuell ist die Bedrohungslage durch Doomboot als sehr niedrig einzustufen. Die umfangreich angehängte Schadsoftware rechtfertigt aber eine Warnung vor mittlerer Schadwirkung. Wer alle eingehenden Installationspakete durch einen Virenscanner von F-Secure, Symantec oder Avira laufen lässt, wird zuverlässig geschützt. Auch kann diese Antivirus-Software Doombot nebst den weiteren Schadroutinen eliminieren.