А ещё есть вирус, о котором многие узнают только после того, как он появился в их телефоне — CommWarrior. Это зверь пострашнее, т.к. кроме батарейки он расходует ещё и средства на счету — отправляет MMS со своей копией. Недавно я наткнулся на его разновидность, от которой не так-то просто избавиться.

Сегодня, блуждая по интернету, я наткнулся на просьбу помочь в удалении вируса с телефона. Из текста сообщения я догадался, что это комварриор (comwarrior), но какой-то не необычный. Яндекс по запросу download commwarrior на первой же странице выдал мне некий сайт на narod.ru, откуда и был скачен архивчик с дистрибутивом. AVP Касперского опредилил Worm.SymbOS.Comwar.c — это действительно представитель семейства commwarrior'ов.

Перекидываю дистрибутив на телефон, устанавливаю — через пару минут на компьютере в папке с файлами, получеными по Bluetooth, оказывается файл 8ask31sa.sis. Ну что-ж, червь приступил к размножению а значит пора его устранять.

Тот же яндекс выдал мне гигантское количество разнообразных мануалов по удалению комварриора. Все они сводились к тому что необходимо либо скачать известный антивирус F-Secure, либо удалить файлы червя из папок

\system\apps\commwarrior\
\system\updates\
\system\recogs\

Естественно, я решил пойти по пути наименьшего сопротивления и скачать антивирус. Первым подопытным был SimWorks Antivirus. Антивирус установился, однако в меню телефона я не обнаружил его иконки. Перезагрузка телефона тоже ничего не дала. Зайдя в папку антивируса файл-менеджером, я понял причину неполадки — отсутствовал app-файл. Отпустив пару нелестных слов в адрес сайт, с которого я скачал программу, я зашел на офсайт F-Secure и, после недолгой процедуры регистрации, получил в своё распоряжение новенький триальный F-Secure mobile antivirus. Однако с Ф-секьюром произошёл тот же казус. Забегая вперёд, скажу, что червь убивает большинство существующих на данный момент антивирусов (точнее не сами антивирусы а их app файлы, сигнатуры которых у виря «в крови"), в том числе и ф-секьюр.

Ну, не антивирусом единым жив человек — решил я. Вооружившись FExplorer, полез чистить телефон вручную. Захожу в C:\Apps\, ищу взглядом папку CommWarrior — а её нет! Ровно как и нет папки Updates, хотя в папке recogs действительно лежит файл .mdl с cw в начале имени. Кажется, я вляпался :-)

На компе распаковываю дистрибутив комварриора утилитой UnMakeSis. Она показывает что при установке будет запущен файл cwoutcast.exe. Файлменеджером ищу процесс — да, есть такой! Пытаюсь «убить" — на третьей попытке телефон перегружается.

Поиск нашел мне 4 копии оригинального cwoutcast.exe — 2 в \system\bootdata\lib (один на E: другой на C:), 2 в \system\programs. Пытаюсь удалить тот, что на C: — файл остался на месте, а телефон опять ушел в ребут. Нее, я так просто не сдамся!

!!! ВНИМАНИЕ !!! Описаный ниже способ удаления червя с телефона может серьёзно ему (телефону) повредить. Используйте его на свой страх и риск!

В общем, додумался я до следующего — раз вирус поддерживает свои файлы в целости и сохранности, значит он должен раз в n секунд их сканировать. Ну а раз телефон не тормозит, то вирус сканирует их не очень то и часто. В общем, как ни парадоксальна моя мысль, надо комварриора перегнать и не дать ему возродить файл. В общем, то ли мне повезло, но я с первого раза отгадал файл который надо удалить — это cwoutcast.exe из \system\bootdata\lib\.

Удаление вируса состоит в следующем — необходимо удалить файл cwoutcast.exe и сразу после нажатия кнопки «удалить» вытащить батарейку из телефона. Если вы были достаточно быстры, в папке \system\bootdata\lib\ файл cwoutcast.exe станет размером 0 байт и в процессах cwoutcast.exe присутствовать не будет. Можно так же попробовать удалить cworec.mdl, я не пробовал — ничего сказать по этому поводу не могу.

А потом пришлось бежать в магазин за кард-ридером, т.к. если не очистить карту, то при запуске телефона с зараженной картой червь вновь начнёт свою вредоносную деятельность.