Betroffene Systeme: ältere Symbian-Systeme
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: niedrig

Mrex ist ein Virus, der sich als Installationsversion von Anti-Mrex ausgibt. Er macht nicht allzu viel Schaden, weil er sich nur mit folgenden Dateien ins System einträgt:

C:\system\data\colorscm.dat
C:\sysdata\startup.mp4
C:\sysdata\shutdown.mp4
C:\info.txt

Als Auswirkung wird die Farbwiedergabe des Handys kräftig gestört. Auch sind Probleme beim Neustart möglich, wenn sich das Mobiltelefon “aufhängt”. Die Dateien können durch manuelle Überspielung/Löschung entfernt werden. Auch ist ein Reset des Handys möglich – dann aber unter Verlust der gespeicherten Kontakte und Nachrichten.

Mrex ist schon recht alt und wird eigentlich von jedem aktuellen Antivirenprogramm, beispielsweise Umu, F-Secure, Kaspersky oder Symantec sauber und ohne weitere Schäden eliminiert.

Betroffene Systeme: Symbian S60 third Edition
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: mittel

Yxe ist ein Wurm in verschiedenen Varianten. Allen gemeinsam ist der Infektionsweg, bsp. durch Überzeugung des Opfers, die Installation auszuführen. Yxe wird daher hauptsächlich in sozialen Netzen vervielfältigt, bei denen vermeintlich seriöse Gesprächspartner MMS zusenden oder den Virus als SIS-Datei über das Internet bewerben.

Auf dem Handy versucht Yxe nach erfolgreicher Installation, Daten des Smartphones auszulesen und diese in Form von Logdateien über eine http-Verbindung an einen Server zu übermitteln. Die http-Adresse ist kann hierbei variieren. Zusätzlich legt der Virus eine Kopie von sich selbst an. Dazu wird noch der Applikationsmanager beschädigt wie auch eventuelle fremde Dateimanager. Dann erfolgt ein Auslesen der Kontaktliste und ein Versand der Virus-Kopie an alle Kontakte.

Genau wie Transmitter gibt es ein Problem mit der Authentifizierung der SIS-Datei. Verschiedene Varianten von Yxe nutzen ein Zertifikat von Symbian, das zwischenzeitlich widerrufen wurde. Wie so manche andere Viren kommt Yxe aus China. Daher ist absolute Vorsicht angebracht, wenn man entweder über soziale Netze (in China ist Raubkopieren Volkssport) oder sonstwie chinesische Software angeboten bekommt.

Zu den Abwehrmaßnahmen: S60 Handys können widerrufene, also ungültige, Zertifikate erkennen, wenn man im Applikationsmanager die Liste aktueller Zertifikate auf den neuesten Stand bringt. Hierfür ist eine Internetverbindung nötig, damit man sich von Symbian die aktuelle Liste herunterladen und aufs Handy überspielen kann. Yxe würde in diesem Fall schon durch das Betriebssystem abgelehnt. Der Virus taucht nach Installation als normale Applikation auf dem Handy auf und kann ganz normal gelöscht werden. Hierfür sollte man sich den Namen gemerkt haben, mit dem Yxe sich während der Installation gemeldet hatte.

Noch besser ist natürlich Antivirensoftware von westlichen Herstellern, die mit dem Schädling kurzen Prozess machen. F-Secure, Umu, Symantec oder auch Kasperky haben entsprechende Antivirenprogramme.

Betroffene Systeme: Symbian S60
Übertragungsweg: MMS, Bluetooth, Installationsdatei (SIS)
Schadwirkung: gering

Mabir ist eine funktional erweiterte Schadroutine ähnlich des Cabir-Virus, daher auch die ähnliche Bezeichnung. Er kann Symbian S60 Geräte infizieren, indem er nach in der Nähe befindlichen Bluetooth-Geräten sucht. Zusätzlich lauscht Mabir nach einkommenden SMS sowie MMS und sendet eine infizierte SIS-Datei zurück an den Absender. Hier ist dann auch Vorsicht angebracht, da MMS nicht nur Bilder oder Töne umfassen können – eine häufige Fehlannahme – sondern auch SIS-Dateien und darin enthaltene Viren.

Beim Versand via Bluetooth benutzt Mabir immer den Dateinamen caribe.sis, beim Versand via MMS immer den Dateinamen info.sis. Der darin enthaltene Virus ist derselbe.

Ein gängiges Antivirus-Programm, etwa F-Secure, Umu, Symantec oder Kaspersky blockt Mabir ab und kann ein infiziertes Handy säubern. Da der Virus schon älter ist und aktuelle Versionen von Symbian deutlich bessere Schutzmechanismen haben (Verifizierungscode der SIS-Datei), sind die neuesten Handys weniger gefährdet. Trotzdem ist und bleibt eine Antivirensoftware für Smartphones empfehlenswert.

Betroffene Systeme: Symbian S60
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: niedrig

Der Virus PBSteal scheint eine Weiterentwicklung von Cabir zu sein. Die Schadroutine ist ein wenig merkwürdig. Einmal installiert, liest PBSteal das komplette Kontaktverzeichnis aus (PBSteal=PhoneBook Steal). Der Virus sucht dann nach Bluetoothgeräten in der Nähe und überträgt wiederholt alle Kontakte hübsch formatiert an die nächstmögliche Bluetoothverbindung. Gemunkelt wird, dass es sich um einen chinesischen Programmierer handelt, welcher PBSteal schrieb.

Falls man den Virus nicht mit gängiger Antivirensoftware von bspw. F-Secure, Umu, Symantec oder Kaspersky entfernen möchte, ist auch eine manuelle Löschung möglich.

Folgende Dateien sind zu entfernen:

C:\system\apps\pbexplorer\pbexplorer.rsc
C:\system\Mail\00110001_S\PBDeveloper.rsc
C:\SYSTEM\MAIL\PHONEBOOK.TXT – die geklaute Kontaktliste

Trotzdem ist der Einsatz eines Antivirus-Programms empfehlenswert, da nicht ausgeschlossen werden kann, dass weitere Viren oder neuere Versionen von PBSteal auf dem Handy vorhanden sind.

Betroffene Systeme: Symbian S60 – normalerweise nur second Edition
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: mittel

Multidropper kommt als SIS Installationsdatei aufs Handy. Der Virus selbst hat keine größere Schadwirkung, trägt aber verschiedene andere Viren als Nutzlast auf die betroffenen Geräte. Damit ist Multidropper durchaus zu mittleren Schadwirkungen fähig, wenn beispielsweise die Viren/Trojaner Beselo, Commwarrior, Fontal oder in einigen Versionen auch Kiazha auf ein Handy gelangen.

Der Schutz vor Multidropper ist recht einfach. Nur vertrauenswürdige Software sollte installiert werden. Vorsicht ist vor allem bei den SIS-Paketen angebracht, welche reißerische Namen haben und nicht von offiziellen Herstellerseiten oder bekannt seriösen Quellen kommen. In jedem Fall ist ein adäquates Antivirenprogramm von bsp. Symantec, F-Secure, Umu oder Avira empfehlenswert, das den Schädling erkennen und eliminieren kann. Je nach “Nutzlast” von Multidropper bleibt ansonsten nur der Reset des Handys auf die Werkseinstellungen, wodurch gespeicherte Kontakte sowie Daten verloren gehen.

Betroffene Systeme: Symbian S60 second Edition
Übertragungsweg: Installationsdatei (SIS), Kiazha kommt häufig durch einen anderen Virus namens Multidropper aufs Handy
Schadwirkung: niedrig

Ein kleiner Erpresser ist der Symbian Virus Kiazha. Erst einmal etwas zum Namen – dieser wird bei den Herstellern von Antivirensoftware unterschiedlich gehandhabt. Entsprechend ist dieser Virus auch als Kuku oder QQSend bekannt.

Sobald er sich auf dem Handy eingenistet hat, löscht er die vorhandenen SMS und sendet selbst eine SMS an eine im Virus frei definierbare Nummer. Das kann teuer werden, wenn hiermit “Mehrwert”dienste wie Klingeltöne oder Telefonsex abonniert werden. In der Ursprungsversion bekommt der Nutzer hierdurch einen Account beim Messaging Dienst Tencent QQ in Asien – dem dort am weitesten verbreiteten Netz für Messaging. Angesichts der in China grassierenden Virengefahr und der aggressiven Vermarktung, verwundert es mich nicht, dass einige den Virus als Kundengewinnungs-/Installationsoption ansehen, vor allem westliche Firmen jedoch deutlich vor dem Schädling warnen. Normalerweise wird Kiazha als Nutzlast des Virus Multidropper auf einem Handy installiert.

Es gibt aber auch Varianten, die netterweise die Beseitigung des Virus anbieten. Dafür darf man dann an einen chinesischen Dienst 50 Yüan (oder wie auch immer man das schreibt), also 50 CNY bezahlen. Der Virus ist zudem technisch in der Lage, die IMEI (International Mobile Equipment Identity) Identifikationsnummer des Handys sowie die Version des Betriebssystems Symbian an die angegebene Nummer zu übermitteln.

Kiazha, also QQSend oder Kuku kann durch gängige Virensoftware von Symantec, F-Secure, Kaspersky oder weiteren Herstellern eliminiert werden. Bitte beachten Sie jedoch, dass in der Regel auch das “Mutterschiff” Multidropper entfernt werden muss.

Betroffene Systeme: Symbian S60 third edition
Übertragungsweg: MMS, Aufruf einer korrumpierten Webseite
Schadwirkung: niedrig

Der Virus MMS Bomber ist zunächst in China aufgetreten. Er tarnt sich als normale Applikation, wobei verschiedene Namen verfügbar sind. Einmal gestartet, nistet sich MMS Bomber im Betriebssystem ein und versendet gleichzeitig Nachrichten an alle Einträge im Adressbuch. Werden diese MMS auf dem Handy des Empfängers aufgerufen, erstellt der Virus eine Internetverbindung zu einer vorher definierten Webseite. Damit erfolgt dann auch die Infektion. Die Handys sind danach kaum noch funktionsfähig und eine Entfernung ohne Antivirensoftware ist sehr schwierig. Ein Reset des Handys auf Werkseinstellungen eliminiert den Wurm, wobei jedoch die Kontakte oder auch gespeicherte SMS/MMS verloren gehen.

In China hat sich der Virus anscheinend wie eine Lawine ausgebreitet, sagt zumindest NetQuin, ein dortiger Anbieter von Antivirensoftware. In Europa oder Amerika war hingegen nichts besonderes zu spüren. Trotzdem sind auch die hiesigen Anbieter von Antivirus-Software gegen den Schädling gewappnet.

Die Klassifikation als niedrige Schadstufe erfolgt für Europa und Amerika, da MMS Bomber bislang ein eher lokales Problem ist.

Betroffene Systeme: Symbian S60 second Edition und älter
Übertragungsweg: Installationsdatei (SIS), MMC-Speicherkarte
Schadwirkung: niedrig

Der HatiHati Virus entstand aus einer Software, die verloren gegangene Handys aufspüren sollte. Einmal aktiviert, sendet er eine Menge SMS an eine vordefinierte Nummer. Hierbei kann eine enorm hohe Telefonrechnung entstehen. Für den urpsrünglichen Schutz vor Diebstählen sah das Programm vor, beim Einlegen einer neuen SIM-Karte eine Warnung abzusetzen. Die Schadvariante macht dies ständig. Absolut teuer kann dabei die Anwahl von “Mehrwert”diensten oder Abos werden. Bislang aufgetretene Varianten des Wurms sind nur durch Tausch von zusätzlichen Speicherkarten übertragbar – die gefährlicheren Übertragungswege Bluetooth oder SMS beherrschen die HatiHati Varianten noch nicht.

Zur Abwehr reicht also ein Virenscan mit aktueller Antivirensoftware von Symantec, F-Secure, Kasperky oder ähnlichen Programmen. Man kann den Virus auch manuell entfernen, indem man (mit komplettem Datenverlust) das Handy auf die Werkseinstellungen zurücksetzt und die Speicherkarte neu formatiert.

Betroffene Systeme: Symbian
Übertragungsweg: Installationsdatei (SIS)
Schadwirkung: niedrig

Von RomRide gibt es verschiedene Varianten, RomRide A bis aktuell J. Der Virus kommt als Installationsdatei (SIS) aufs Handy und hat einige unschöne Eigenschaften. Bei der Aktivierung des Virus werden wichtige Systemdateien überschrieben, welche einen Neustart des Handys (Reboot) unmöglich machen. Das Handy “hängt sich auf”, da es wichtige Funktionen nicht erreichen kann. Damit die Schadwirkung möglichst schnell eintritt, fährt RomRide das Handy herunter, damit es, wie eben beschrieben, beim Neustart funktionsunfähig ist. Einige Varianten von RomRide spielen zuvor noch eine kleine Audiodatei. Das ist denn auch ein sehr guter Hinweis, dass mit dem Mobiltelefon etwas nicht stimmt.

Zur Beseitigung von RomRide hilft nur ein Hardware-Reset des Handys auf die Werkseinstellungen. Dabei gehen Kontakte und gespeicherte Daten verloren. Avira, F-Secure oder auch Symantec schützen mit ihrer Antivirensoftware vor einer Infektion.

Betroffene Systeme: Symbian S60 third Edition – dritte Ausgabe
Übertragungsweg: Installationsdatei (SIS), Webdownload, WAP-Download, SMS
Schadwirkung: niedrig bis mittel

Recht hinterhältig ist der Virus Sexy Space – ein Trojaner mit Multiplikationsfähigkeiten eines Wurms. Dessen Programmierer haben es geschafft, die eigentlich der Symbian Foundation vorbehaltene digitale Signatur für sichere Programme zu umgehen. Kur zur Erinnerung: eigentlich sollten nur solche Programme ohne Probleme installierbar sein, die ein Zertifikat von Symbian haben, weil sie als unbedenklich eingestuft wurden. Der Virus gibt sich meist als folgende Datei aus: ACSServer.exe. Einmal aktiviert, hat Sexy Spaces ein recht übles Repertoire an Schadwirkungen. Er liest das komplette Adressbuch aus und schickt SMS mit Links zu dubiosen Seiten an die Kontakte. Werden die Seiten von einem anderen Symbian-Handy angewählt, können sie sich ebenfalls infizieren. Darüber hinaus versucht er Kontakt mit Webservern aufzubauen, denen er sämtliche Daten des Handy-Eigentümers schicken möchte. Nicht auszuschließen ist eine Versendung von SMS an sogenannte “Mehrwertdienste”, also bspw. Telefonsexanbieter, die dann kräftig mit Abos kassieren wollen. Man darf gespannt sein, ob es Weiterentwicklungen des Virus geben wird, die weitere Schadroutinen beinhalten. Entstanden ist Sexy Spaces aus der Entwicklungslinie Sexy View / Exy Versionen A-D. Ein Antivirenprogramm ist dringend empfohlen.

Mittlerweile wird der Virus seltener, da auch mit bekannter Antivirensoftware wie F-Secure, Symantec, Avira oder vergleichbaren Programmen erfolgreich gegen ihn vorgegangen wurde.