Worm.SymbOS.Cabir.aДругие версии: .k
Первый сетевой червь, распространяющийся через протокол Bluetooth и заражающий мобильные телефоны, работающие под управлением OS Symbian. Из-за большого количества подобных телефонов различных производителей, пока не представляется возможным указать все подверженные заражению модели, однако с полной уверенностью можно говорить о Nokia 3650, 7650 и N-Gage. Потенциально заражению могут оказаться подвержены все мобильные телефоны, использующие платформу Symbian. Вот список этих устройств (оригинал находится на сайте Symbian):
В настоящий момент известны две версии данного червя, отличающиеся только наличием строчки "VZ/29a" в выводимом на экран тексте Window Alert. Червь представляет собой файла формата SIS, caribe.sis. Размер файла - 15092 байт (или 15104 байт). Данный файл содержит в себе несколько объектов:
ИнсталляцияПри запуске червь выводит на экран сообщение "Caribe" (или "Caribe - VZ/29a"): И затем инсталлирует себя в различные каталоги: с:\system\apps\caribe\caribe.app с:\system\apps\caribe\flo.mdl с:\system\apps\caribe\caribe.rsc C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.SIS C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.APP C:\SYSTEM\SYMBIANSECUREDATA\CARIBESECURITYMANAGER\CARIBE.RSC C:\SYSTEM\RECOGS\FLO.MDL Каталог "SYMBIANSECUREDATA", создаваемый червем, является скрытым и не виден пользователю зараженного телефона. В случае удаления файлов червя из каталога "APPS", червь будет продолжать свою работу в системе. РазмножениеПри каждом включении зараженного телефона червь получает управление и начинает сканировать список активных Bluetooth-соединений. Затем червь выбирает первое доступное соединение из списка и пытается передать туда свой основной файл "caribe.sis". В этом случае у пользователя принимающего телефона на экран выводится сообщение: В случае, если пользователь подтвердит прием файла, то его телефон примет зараженный файл и предложит запустить его на исполнение (зависит от модели телефона): ПрочееЧервь не содержит никакой побочной функциональности, кроме саморазмножения. Однако зараженный телефон может работать нестабильно, из-за постоянного наличия червя в памяти и его попыток сканирования активных Bluetooth-устройств. Удаление червя"Лаборатория Касперского" разработала специальную утилиту для удаления Cabir.a с зараженного мобильного устройства под управлением ОС Symbian. В настоящее время утилита работает с телефонами Nokia 3650, 6600 и Siemens SX1. Утилита также способна работать на Nokia N-Gage и Sony Ericsson P900, хотя тестирование на этих аппаратах не проводилось. Чтобы воспользоваться утилитой, необходимо любым способом загрузить установочный файл decabir.sis на мобильный аппарат, и запустить его. Затем, выбрать иконку Decabir в главном меню телефона. Если червь на аппарате не обнаружен, утилита выдаст сообщение "Device is clean". В противном случае появится сообщение "Cabir has been removed. Please reboot", после которого необходимо перезапустить телефон (выключить и снова включить). Утилита выложена на WAP-сайт wap.kaspersky.com и доступна для загрузки непосредственно со страниц WAP-сайта или же из WWW по ссылке www.kaspersky.com/downloads/wap/downloads/decabir.sis. |