Как известно, в июле сего года в Интернет появилась информация о первом вирусе, написанном для ОС Windows CE (она же Windows Mobile), применяемой в смартофонах и Pocket PC. Компанией Airscanner Corp. выпущен анонс о том, что компания детально разобрала код вируса (в тесном сотрудничестве с автором, кстати) и опубликовала детальный обзор используемой им уязвимости. Дело в том, что модель безопасности архитектуры Windows CE.NET предусматривает работу ядра в защищённом режиме. Этот режим предусматривает полную изоляцию ядра системы от пользовательских приложений. Однако (как зачастую бывает у Microsoft), была обнаружена возможность взаимодействовать с ядром напрямую от пользоательских приложений, используя модуль "coredll". Эта возможность может быть осуществлена с использованием функции "kdatastruct". Эту-то "особенность" и использовал вирус. Сообщается, что создателем вируса является некто Ratter из команды вирусописателей 29a (16-ричный эквивалент 10-чного "666"), который и передал вирус господам из Airscanner Corp. Собственно, сам вирус довольно безобиден и, по-видимому, использован исключительно в демонстрационных целях.
Описание вируса
Исходный код вируса