資料來源:北京日月光華
類型: Worm 平台: Symbian
別名: SymbOS/Cabir.H, EPOC/Cabir.H, Worm.Symbian.Cabir.H, Caribe virus
概述: Cabir.H 是一個使用藍牙的蠕蟲,運行於支持 60 系列平台的 Symbian 手機。
Cabir.H 變種是原始 Cabir 的重編譯版本,主要區別是 Cabir.H 有確定的複製規則,可以比之前的變種傳播得更快。
Cabir.H 通過藍牙連線複製,作為包含蠕蟲的 velasco.sis 檔案到達手機收信箱。當用戶點擊 velasco.sis 並選擇安裝時,蠕蟲激活並開始通過藍牙尋找新的手機以感染。
當 Cabir 蠕蟲發現另一個藍牙手機時,只要目標手機在範圍內,它就開始向其傳送 velasco.sis 檔案的拷貝。與 Cabir 之前的變種不同, Cabir.H 在第一個目標離開範圍後,能夠發現新目標。因此 Cabir.H 一旦失去控制,極有可能比之前的變種傳播得更快。
請注意 Cabir.H 蠕蟲只能到達支持藍牙並處於可發現模式的手機。
把你的手機設定為不可發現(隱藏)藍牙模式會保護你的手機不受 Cabir 蠕蟲侵害。
但是一旦手機被感染,即使用戶試圖從系統設定中關閉藍牙功能,病毒仍將試圖感染其他系統。
詳細描述:
複製
Cabir.H 通過藍牙複製 velasco.sis 檔案,包含蠕蟲主要執行檔 velasco.app 、系統識別marcos.mdl 和源檔案 velasco.rsc 。 SIS 檔案包括自啟動設定,在 SIS 檔案被安裝後,將自動執velasco.app 。
velasco.sis 檔案不會自動到達目標手機,所以當感染手機仍在範圍內時,用戶需要對傳輸問題回答是。
當 Cabir.H 蠕蟲被激活,它將開始尋找其他的藍牙手機,並開始向找到的第一個手機傳送被感染的 velasco.sis 檔案。在第一個目標手機離開範圍後, Cabir.H 會繼續尋找並感染其他手機。
這個複製機制的修改使 Cabir.H 一旦失去控制,更可能快速傳播。
感染
當 velasco.sis 檔案安裝時,安裝者會將蠕蟲執行檔複製到以下位置:
c:\system\apps\velasco\velasco.rsc
c:\system\apps\velasco\velasco.app
c:\system\apps\velasco\flo.mdl
當 velasco.app 執行時複製以下檔案:
flo.mdl 到 c:\system\recogs
velasco.app 到 c:\system\symbiansecuredata\velasco\
velasco.rsc 到 c:\system\symbiansecuredata\velasco\
如果用戶將應用程式安裝到記憶體卡,避免用戶試圖通過卸載原始 SIS 檔案殺掉蠕蟲最可能發生。
之後蠕蟲會從蠕虫部分檔案和 velasco.app 中的數據塊重建 velasco.sis 檔案。
重建 velasco.sis 檔案後,蠕蟲會開始尋找所有可見的藍牙手機,並向其傳送 SIS 檔案。
參考資料:http://www.m-virus.com/post/100.html
