資料來源:北京日月光華
類型: Worm 平台: Symbian
別名: SymbOS/Cabir.A, EPOC/Cabir.A, Worm.Symbian.Cabir.a, Caribe virus
概述: Cabir 是一個使用藍牙傳播的蠕蟲,運行於支持 60 系列平台的 Symbian 手機。
Cabir 通過藍牙連線複製,作為包含蠕蟲的 caribe.sis 檔案到達手機收信箱。當用戶點擊 caribe.sis 並選擇安裝 Caribe.sis 檔案時,蠕蟲激活並開始通過藍牙尋找新的手機感染。
當 Cabir 蠕蟲發現另一個藍牙手機時,它將開始向其傳送感染 SIS 檔案,並鎖定這個手機,以至於即使目標離開範圍時它也不會尋找其他手機。
請注意 Cabir 蠕蟲只能到達支持藍牙且處於可發現模式的手機。
將你的手機設定為不可發現(隱藏)藍牙模式會保護你的手機不受 Cabir 蠕蟲侵害。
但是一旦手機感染,即使用戶嘗試從系統設定使藍牙不可用,病毒也會試圖感染其他系統。
當用戶在手機收信箱中點擊 caribe.sis ,會顯示一個警告對話框。
如果用戶點擊是,手機會詢問正常的安裝問題。
如果用戶點擊是, Cabir 蠕蟲會激活,顯示一個對話框,包含病毒作者給蠕蟲的命名、作者姓名縮寫和團體縮寫 29A 。不過某些手機型號如 NOKIA 6600 似乎不顯示這個對話框。
詳細描述:
複製
Cabir 通過藍牙複製 caribe.sis 檔案,包含蠕蟲執行檔 caribe.app 、系統識別器 flo.mdl 和資源檔案 caribe.rsc 。 SIS 檔案包括自啟動設定,在 SIS 檔案被安裝後,將自動執行 caribe.app 。
caribe.sis 檔案不會自動到達目標手機,所以當感染手機仍在範圍內時,用戶需要對傳輸問題回答是。
當 Cabir 蠕蟲激活,它將開始尋找其他的藍牙手機,並開始向找到的第一個手機傳送被感染的 caribe.sis 檔案。 Cabir 中的複製規則包含一個缺陷,導致它鎖定發現的第一個手機,不會尋找其他手機。
這意味著每次激活 Cabir 只能向一個手機傳送感染檔案。因此當 Cabir 第一次激活時會試圖感染一個手機,然後在手機重啟時每次一個。
實驗中我們也發現新感染的手機首先會尋找傳送感染檔案的手機。因此只有當在用戶在新手機中激活 Cabir 之前,傳送感染檔案的手機就離開範圍的情況下, Cabir 才能夠廣泛傳播。
這意味著,雖然 Cabir 能夠傳播,但是傳播得會很慢而且不會引起大範圍傳播。
一個奇怪的事實是 60 系列手機中的藍牙功能與 GSM 方面獨立,而且如果手機重啟, 即使用戶不輸入 PIN 碼, cabir 也會試圖傳播。
感染
當 caribe.sis 檔案安裝時,安裝者會將蠕蟲執行檔複製到以下位置:
c:\system\apps\caribe\caribe.rsc
c:\system\apps\caribe\caribe.app
c:\system\apps\caribe\flo.mdl
當 caribe.app 執行時,複製以下檔案:
flo.mdl 到 c:\system\recogs
caribe.app 到 c:\system\symbiansecuredata\caribesecuritymanager\
caribe.rsc 到 c:\system\symbiansecuredata\caribesecuritymanager\
在用戶向記憶體卡安裝應用程式時最有可能發生。
然後蠕蟲會從蠕虫部分檔案和 caribe.app 中的數據塊重建 caribe.sis 檔案。
重建 caribe.sis 檔案後,蠕蟲開始尋找所有可見的藍牙手機,並向它們傳送 SIS 檔案。
解決方案:
你可以通過安裝一個檔案應用程式對系統進行手動防毒,並手動刪除這些檔案:
c:\system\apps\caribe\caribe.rsc
c:\system\apps\caribe\caribe.app
c:\system\apps\caribe\flo.mdl
c:\system\recogs\flo.mdl
c:\system\symbiansecuredata\caribesecuritymanager\caribe.app
c:\system\symbiansecuredata\caribesecuritymanager\caribe.rsc
參考資料:http://www.m-virus.com/post/92.html
