資料來源:北京日月光華
類型: Worm 平台: Symbian
別名: SymbOS/Commwarrior.C, Comwarrior, CWoutcast
源自: 俄羅斯
概述: Commwarrior.C 是一個與 Commwarrior.B 相似的蠕蟲,但也有新的功能。Commwarrior.C 能夠通過藍牙、 MMS 和插入被感染手機的 MMC 卡傳播。
當Commwarrior.C 感染一個手機時,它試圖將操作者的標識改為自己的。在 NOKIA 6600 上已檢測到這種行為,標識被換成 "Infected by Commwarrior" 。 當用戶回復新的 SMS 或 MMS 信息時, Commwarrior.C 將使用手機瀏覽器啟動一個網頁。Commwarrior 搜尋其他通過藍牙可達的手機,使用藍牙傳播向找到的所有手機傳送被感染的 SIS 檔案。Comwarrior 傳送的 SIS 檔案被隨機命名,因此無法警告用戶避免任何已知檔案名稱字的檔案。除了通過藍牙傳播, Comwarrior.C 也通過 MMS 信息傳播。 Commwarrior.C 基於用戶發信習慣傳送被感染的 MMS 訊息,以使所有傳送到被感染手機的信息都得到感染的 MMS 作為回響。而且由感染手機的用戶傳送的 SMS 訊息將跟隨感染的 MMS 訊息。由 Commwarrior.C 傳送的 MMS 訊息中的文字包含存儲在手機收信箱的文字,因此 Commwarrior.C 傳送的訊息是接收用戶可能期望從傳送方收到的文字。MMS 訊息是能夠在 Symbian 手機和其他支持 MMS 信息的手機之間傳送的多媒體信息。正如名字所示, MMS 訊息設計為只包含媒體內容,如圖片、音頻或視頻,但它們能夠包含一切,包括被感染的 Symbian 安裝檔案。 Commwarrior.C 也通過 MMC 卡傳播,將其自身複製到任何插入手機的卡中。如果這種卡被插入另一個手機,當卡插入時, Commwarrior.C 將自動啟動。
Comwarrior 包含以下文字:
CommWarrior Outcast: The dark side of Symbian Force. CommWarrior v2.0-PRO. Copyright (c) 2005 by e10d0r CommWarrior is Freeware product. You may freely distribute it in it's original unmodified form. With best regards from Russia . OTMOP03KAM HET!
文字 "OTMOP03KAM HET!" 是俄語,大意是 " 不要腦死亡 " 。 Commwarrior.C 尚未完全分析,如得到更多確認的細節描述將更新。
感染:
Comwarrior SIS 檔案安裝時,安裝者將蠕蟲執行檔複製到c:\system\programs\cwoutcast.exe。
comwarrior.exe 執行時,將自己複製到 \system\bootdata\lib\cwoutcast.exe 並創建\system\recogs\cworec.mdl 到 C :盤和找到的所有 MMC 卡。
與 Commwarrior.A 和 .B 不同, Commwarrior.C 的 SIS 檔案不包括 MDL 識別器,識別器部分包含在可執行的蠕蟲中。 複製自身後, Commwarrior.C 在執行 cwoutcast.exe 的資料夾內重建 SIS 檔案。
隱藏自身進程
Commwarrior.C 試圖通過將進程類型設定為系統進程來隱藏它的進程,以使其在標準應用程式列表內不可見。
但是如果用戶使用一個名為 CWOUTCAST 的第三方進程列表工具, Commwarrior.C 進程是可見的。
通過藍牙複製
Comwarrior 通過藍牙在隨機命名的 SIS 檔案中複製, SIS 檔案包括蠕蟲的主要執行檔 woutcast.exe 。
SIS 檔案包含自啟動設定,會在 SIS 檔案被安裝後自動執行 cwoutcast.exe 。
Comwarrior 蠕蟲被激活時,將開始尋找其他藍牙手機,並試圖向每個目標手機傳送一次自身複製品。
如果目標手機離開範圍或拒絕檔案傳輸, commwarrior 將搜尋另一個手機。
Comwarrior 的複製機制不同於 Cabir 。一旦一個手機在範圍內, Cabir 蠕蟲會鎖定它,在失去連線或持續鎖定後則取決於變種是否查看另一個變種。
Comwarrior 蠕蟲會持續尋找新的目標,因此它能夠連線範圍的所有手機。
通過 MMS 複製
Commwarrior.C 使用三種策略通過 MMS 訊息傳播。
第一種當 Commwarrior.C 啟動時,它開始搜尋手機地址簿,向所有標記為手機的電話號碼傳送 MMS 訊息。
Commwarrior.C 監聽所有到達的 MMS 或 SMS 訊息,向這些訊息回復包含 Commwarrior.C SIS 檔案的 MMS 訊息。
蠕蟲也監聽所有由用戶傳送的 SMS 訊息,在 SMS 訊息之後向相同號碼傳送 MMS 訊息。
複製到 MMC 卡
Commwarrior.C 監聽所有插入感染手機的 MMC 卡,並向其複製自身。感染的卡包含 Commwarrior 執行檔和 bootstrap 部分,以使另一個手機如果插入感染的卡也會感染。
保護自身不被防毒
Commwarrior.C 保護自身免受使用檔案管理器的手動防毒。如果用戶試圖刪除 Commwarrior 執行檔或 bootstrap 部分, Commwarrior.C 的運行進程將在手機中重新創建它們。 Commwarrior.C 也設定保護它自己的進程,以使進程不能被輕易殺死。
解決辦法:
如果手機已經感染該病毒,安裝專用手機防毒軟體進行清除,沒有防毒軟體的請格式化手機或者恢復到出廠設定(別忘了做好資料備份)。
注意!這種方法將刪除手機上的所有數據,包括日曆和電話號碼
1. 關機
2. 持續按住以下三個鍵"answer call" + "*" + "3"
3. 持續按住三個鍵,開機
4. 取決於型號,或出現文字"formatting",或詢問初始手機設定的啟動對話框
5. 你的手機現在被格式化,可以重新使用
參考資料:http://www.m-virus.com/post/77.html
