| 本月文章推荐 |
Symbian.Cabir.A发表日期:2007-12-23
|
|
病毒名称:
Symbian.Cabir.A
类别: Worm
病毒资料:
Cabir 是一个使用蓝牙传播的蠕虫,运行于支持 60 系列平台的 Symbian 手机。
Cabir 通过蓝牙连接复制,作为包含蠕虫的 caribe.sis 文件到达手机收信箱。当用户点击 caribe.sis 并选择安装 Caribe.sis 文件时,蠕虫激活并开始通过蓝牙寻找新的手机感染。 当 Cabir 蠕虫发现另一个蓝牙手机时,它将开始向其发送感染 SIS 文件,并锁定这个手机,以至于即使目标离开范围时它也不会寻找其他手机。 请注意 Cabir 蠕虫只能到达支持蓝牙且处于可发现模式的手机。 将你的手机设定为不可发现(隐藏)蓝牙模式会保护你的手机不受 Cabir 蠕虫侵害。 但是一旦手机感染,即使用户尝试从系统设置使蓝牙不可用,病毒也会试图感染其他系统。 当用户在手机收信箱中点击 caribe.sis ,会显示一个警告对话框。 如果用户点击是,手机会询问正常的安装问题。 如果用户点击是, Cabir 蠕虫会激活,显示一个对话框,包含病毒作者给蠕虫的命名、作者姓名缩写和团体缩写 29A 。不过某些手机型号如 Nokia 6600 似乎不显示这个对话框。 杀毒: 你可以通过安装一个文件应用程序对系统进行手动杀毒,并手动删除这些文件: c:\system\apps\caribe\caribe.rsc c:\system\apps\caribe\caribe.app c:\system\apps\caribe\flo.mdl c:\system\recogs\flo.mdl c:\system\symbiansecuredata\caribesecuritymanager\caribe.app c:\system\symbiansecuredata\caribesecuritymanager\caribe.rsc 详细描述: 复制 Cabir 通过蓝牙复制 caribe.sis 文件,包含蠕虫可执行文件 caribe.app 、系统识别器 flo.mdl 和资源文件 caribe.rsc 。 SIS 文件包括自启动设定,在 SIS 文件被安装后,将自动执行 caribe.app 。 caribe.sis 文件不会自动到达目标手机,所以当感染手机仍在范围内时,用户需要对传输问题回答是。 当 Cabir 蠕虫激活,它将开始寻找其他的蓝牙手机,并开始向找到的第一个手机发送被感染的 caribe.sis 文件。 Cabir 中的复制规则包含一个缺陷,导致它锁定发现的第一个手机,不会寻找其他手机。 这意味着每次激活 Cabir 只能向一个手机发送感染文件。因此当 Cabir 第一次激活时会试图感染一个手机,然后在手机重启时每次一个。 实验中我们也发现新感染的手机首先会寻找发送感染文件的手机。因此只有当在用户在新手机中激活 Cabir 之前,发送感染文件的手机就离开范围的情况下, Cabir 才能够广泛传播。 这意味着,虽然 Cabir 能够传播,但是传播得会很慢而且不会引起大范围传播。 一个奇怪的事实是 60 系列手机中的蓝牙功能与 GSM 方面独立,而且如果手机重启, 即使用户不输入 PIN 码, cabir 也会试图传播。 感染 当 caribe.sis 文件安装时,安装者会将蠕虫可执行文件复制到以下位置: c:\system\apps\caribe\caribe.rsc c:\system\apps\caribe\caribe.app c:\system\apps\caribe\flo.mdl 当 caribe.app 执行时,复制以下文件: flo.mdl 到 c:\system\recogs caribe.app 到 c:\system\symbiansecuredata\caribesecuritymanager\ caribe.rsc 到 c:\system\symbiansecuredata\caribesecuritymanager\ 在用户向内存卡安装应用程序时最有可能发生。 然后蠕虫会从蠕虫部分文件和 caribe.app 中的数据块重建 caribe.sis 文件。 重建 caribe.sis 文件后,蠕虫开始寻找所有可见的蓝牙手机,并向它们发送 SIS 文件。 病毒的清除法: 使用光华反病毒软件 手机版,彻底删除。 病毒演示: 病毒FAQ: Symbian系统下的病毒。 发现日期: 2007-2-15 |
| 上一篇:Symbian.Cabir.I
人气:494 下一篇:Symbian.Cabir.E 人气:517 |
| 浏览全部病毒数据库的内容
Dreamweaver插件下载 网页广告代码 祝你圣诞节快乐 2009年新年快乐 |
