Worm.SymbOS.Cabir.k

Другие версии: .a

Другие названия
Worm.SymbOS.Cabir.k («Лаборатория Касперского») также известен как: SymbOS/Mabir.a!app (McAfee),   SymbOS.Mabir.A (Symantec),   Symb/Mabir-A (Sophos),   SYMBOS_MABIR.A (Trend Micro),   SymbOS/Mabir.A (H+BEDV),   SymbOS/Cabir.E (Grisoft),   SymbOS.Mabir.A (SOFTWIN),   SymbOS.Worm.Caribe.A (ClamAV),   SymbOS/Cabir.J.worm (Panda),   SymbOS/Cabir.K (Eset)
Детектирование добавлено 04 апр 2005 17:55 MSK
Обновление выпущено 04 апр 2005 19:45 MSK
Описание опубликовано 11 апр 2005
Поведение Net-Worm, интернет-червь
Технические детали

Вредоносная программа-червь для операционной системы Symbian OS.

Червь представляет собой файл формата SIS, caribe.sis. Размер файла — 17596 байт.

Данный файл содержит в себе несколько объектов:

  • caribe.app — примерный размер 14440 байт
  • caribe.rsc — размер 44 байта
  • flo.mdl — примерный размер 2540 байт

Инсталляция

При запуске червь выводит на экран сообщение:

Caribe Version 2 - ValleZ/29a

Затем инсталлирует себя в различные каталоги:

с:\system\apps\caribe\caribe.app
с:\system\apps\caribe\flo.mdl
с:\system\apps\caribe\caribe.rsc

C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.SIS
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.APP
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.RSC
C:\SYSTEM\RECOGS\FLO.MDL

C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.SIS
C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\INFO.SIS

Каталог SYMBIANSECUREDATA, создаваемый червем, является скрытым и не виден пользователю зараженного телефона.

В случае удаления файлов червя из каталога APPS, червь будет продолжать свою работу в системе.

Размножение

При каждом включении зараженного телефона червь получает управление и начинает сканировать список активных Bluetooth-соединений. Затем червь выбирает первое доступное соединение из списка и пытается передать туда свой основной файл caribe.sis. В этом случае у пользователя принимающего телефона на экран выводится сообщение:

Install Caribe?

В случае, если пользователь подтвердит прием файла, то его телефон примет зараженный файл и предложит запустить его на исполнение (зависит от модели телефона, см. описание Worm.SymbOS.Cabir.a).

Кроме того, по сравнению с остальными модификациями Cabir, в версии «k» появилась новая функция саморазмножения — посредством MMS. В частности, на любое входящее СМС или ММС-сообщение червь автоматически отвечает MMS-сообщением с вложенной копией зараженного файла.

Прочее

Червь не содержит никакой побочной функциональности, кроме саморазмножения. Однако зараженный телефон может работать нестабильно, из-за постоянного наличия червя в памяти и его попыток сканирования активных Bluetooth-устройств.